PANewsは5月11日、Cryptopolitanの情報として、マイクロソフトのセキュリティ研究チームが、攻撃者が2025年末から偽のmacOSトラブルシューティングガイドを公開し、ユーザーを騙して悪意のあるターミナルコマンドを実行させ、暗号化されたウォレット、iCloudデータ、ブラウザに保存されたパスワードを盗んでいることを発見したと報じた。Medium、Craft、Squarespaceなどのプラットフォームで公開されているこれらの偽ガイドは、ディスク容量の解放やシステムエラーの修正といった一般的なユーザーの問題を標的にしており、ユーザーに悪意のあるコマンドをターミナルにコピー＆ペーストさせるように仕向けている。これらのコマンドは自動的にマルウェアをダウンロードして実行する。

ClickFixとして知られるこのソーシャルエンジニアリング手法は、被害者がコマンドを積極的に実行することでmacOSのGatekeeperセキュリティメカニズムを回避します。関連するマルウェアファミリーには、AMOS、Macsync、SHub Stealerなどがあり、Exodus、Ledger、Trezorから暗号化されたウォレットキーを盗むほか、ChromeやFirefoxに保存されているユーザー名とパスワードも盗むことができます。場合によっては、攻撃者は正規のウォレットアプリケーションを削除し、トロイの木馬版に置き換えることもあります。AppleはmacOS 26.4で、悪意のある可能性のあるコマンドの貼り付けに対する保護機能を追加しました。