Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Apple / macOS / iOS 27.05.2026 · 3 min Lesezeit

ClickFix in macOS: Apples Terminal-Warnung und ihre ersten Bypässe

Mit macOS Tahoe 26.4 zeigt Apple eine Warnung an, wenn Befehle aus anderen Apps in Terminal eingefügt werden. Die Idee: ClickFix-Angriffe stoppen, bei denen Nutzer dazu gebracht werden, Schadcode selbst auszuführen. Angreifer umgehen den Schutz bereits per AppleScript-URL-Schema.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Geöffnetes Terminal auf einem MacBook – Symbolbild für ClickFix-Paste-Angriffe

Apple hat in macOS Tahoe 26.4 eine bislang wenig beachtete Sicherheitsfunktion ausgeliefert: Wer Inhalte aus einer anderen Anwendung in das Terminal einfügt, sieht erstmals einen Warndialog – "Possible malware, Paste blocked". Das Feature richtet sich gezielt gegen sogenannte ClickFix-Angriffe, bei denen Nutzer aktiv zur Selbstinfektion getrickst werden. Erste Bypass-Methoden kursieren bereits in freier Wildbahn.

Wie ClickFix funktioniert

ClickFix ist eine Social-Engineering-Masche, die im Jahresverlauf 2025 explosionsartig zugelegt hat – Sicherheitsanbieter beziffern den Anteil am gesamten Malware-Loader-Traffic auf inzwischen über die Hälfte. Das Muster ist nahezu immer identisch: Eine präparierte Webseite, ein gefälschtes Captcha oder ein vermeintlicher Fix-Hinweis behauptet, ein technisches Problem ließe sich beheben, indem man einen kopierten Befehl in das Terminal einfügt. Der Befehl lädt dann den eigentlichen Schadcode nach – häufig in Form eines AppleScript- oder Bash-Stealers, der Browser-Cookies, Keychain-Inhalte oder Krypto-Wallets abgreift.

Apples neuer Hinweis erscheint einmal pro Terminal-Session beim ersten App-übergreifenden Paste-Vorgang. Die Optionen lauten Paste Anyway oder Cancel. Das ist bewusst niedrigschwellig gehalten, um den Workflow erfahrener Entwickler nicht zu zerstören – die Idee ist, an genau jener Stelle eine Sekunde Friktion einzubauen, an der der Angriff bisher reibungslos durchlief.

Angreifer umgehen den Schutz bereits

Wenige Wochen nach dem Release tauchten Varianten auf, die den Warnhinweis schlicht umfahren: Statt ins Terminal zu pasten, präsentieren die Phishing-Seiten einen Execute-Button, der das URL-Schema applescript:// öffnet. macOS startet daraufhin den Skript-Editor mit vorausgefülltem Schadcode; ein weiterer Klick führt ihn aus. Da der Befehl nie das Terminal berührt, schlägt Apples Paste-Warnung nicht an. Berichten zufolge nutzen erste Kampagnen das Schema bereits für AppleScript-Stealer.

Was Admins jetzt tun sollten

  1. macOS-Flotten zeitnah auf 26.4 oder neuer heben – der Schutz ist sonst gar nicht aktiv.
  2. Nutzer schulen: Kein offizielles Apple-, Microsoft- oder Adobe-Captcha verlangt jemals, einen Terminal-Befehl zu kopieren.
  3. URL-Schemas wie applescript:// per MDM einschränken oder den Default-Handler des Skript-Editors auf eine Warn-App umlenken, wenn Inhouse-Skripting im Alltag nicht benötigt wird.
  4. EDR-/MDM-Regeln einbauen, die das Spawnen von osascript oder bash mit verdächtigen Parametern aus Browser-Kindprozessen alarmieren.
  5. Gatekeeper- und XProtect-Definitionen aktuell halten – Apple liefert dazu separate Hintergrund-Updates aus.

Apples Eingriff ist konzeptionell richtig, wirkt isoliert aber nur partiell: Sobald Angreifer das Terminal umgehen können, greift die Warnung nicht mehr. Für Mac-Flotten im Unternehmen heißt das, dass ClickFix-Schutz ein Layer-Ansatz bleibt – Browser-Policy, MDM-Profil, Endpoint-Detection und Nutzer-Schulung gehören zusammen gedacht. Wer im Mittelstand bislang nur auf Antivirus für macOS verzichtet hat, sollte die Lage spätestens jetzt neu bewerten.

Mehr aus dem Apple-Umfeld: News aus der Kategorie Apple

Quellen: BleepingComputer – Apple adds macOS Terminal warning to block ClickFix attacks, The Register – macOS ClickFix attacks deliver AppleScript stealers