Разработчики Apple добавили в macOS Tahoe 26.4 защитный механизм, который блокирует вставку и выполнение потенциально опасных команд в терминале. Нововведение направлено против атак типа ClickFix — популярной техники социальной инженерии, при которой жертву обманом заставляют скопировать и вставить вредоносную команду в командную строку.
Атаки ClickFix построены на социальной инженерии. В классической версии таких атак жертв заманивают на вредоносные сайты и там обманом заставляют скопировать в буфер и выполнить некие команды PowerShell. То есть вручную заразить свою систему вредоносным ПО.
Злоумышленники объясняют необходимость выполнения неких команд решением проблем с отображением контента в браузере, имитируют BSOD, замедляют работу браузера или требуют, чтобы пользователь решил фальшивую CAPTCHA.
Хотя чаще всего ClickFix-атаки нацелены на пользователей Windows, ИБ-специалисты уже не первый год предупреждают и о кампаниях, направленных на пользователей macOS и Linux.
Поскольку человек сам копирует, вставляет и запускает команду, стандартные защитные механизмы ОС не срабатывают, и малварь беспрепятственно проникает в систему.
Пользователи Reddit обратили внимание, что теперь в случае вставки подозрительной команды в терминал macOS будет приостанавливать ее выполнение и показывать пользователю предупреждение. В этом сообщении говорится, что пока системе не причинен вред, так как выполнение команды было остановлено, и поясняется, что мошенники нередко распространяют подобные вредоносные инструкции через различные каналы (включая сайты, мессенджеры и телефонные звонки).
Следует отметить, что в официальной документации упоминаний нового механизма пока нет, и Apple не сообщала о нем в примечаниях к релизу macOS Tahoe 26.4.
После получения предупреждения пользователь может отказаться от вставки команды, но также может проигнорировать сообщение.
Согласно сообщениям, предупреждение может появиться при копировании команд из Safari и вставке их в терминал. Один из пользователей заметил, что сообщение появляется лишь раз за сессию: повторные попытки выполнить опасные команды (включая sudo rm -rf /) не приводят к повторному появлению предупреждения. Другой пользователь предположил, что система может проводить некий анализ, поскольку вставка безобидных команд никаких предупреждений не вызывала.
