Drie verschillende ClickFix-campagnes zijn geïdentificeerd als verspreiders van de MacSync infostealer voor macOS. In tegenstelling tot traditionele exploits vertrouwen deze campagnes volledig op gebruikersinteractie, waarbij slachtoffers worden misleid om terminalcommando's te kopiëren en uit te voeren. Dit maakt de aanvalsmethode effectief tegen gebruikers die zich niet bewust zijn van de risico's van het uitvoeren van onbekende en versleutelde commando's.

De campagnes maken gebruik van misleidende ClickFix-lokmiddelen en werden voor het eerst opgemerkt door Jamf Threat Labs eind 2025. De eerste campagne in november 2025 gebruikte gesponsorde Google-zoekresultaten om gebruikers naar een nep-OpenAI Atlas-browserpagina te leiden, waar zij via een downloadknop instructies kregen om een shellscript te downloaden en MacSync met gebruikersrechten te installeren. In december 2025 werden gesponsorde links gekoppeld aan zoekopdrachten als "hoe maak je je Mac schoon" ingezet om gebruikers via legitieme OpenAI ChatGPT-gesprekken naar kwaadaardige GitHub-achtige pagina's te leiden, waar zij werden verleid tot het uitvoeren van schadelijke terminalcommando's. De meest recente campagne in februari 2026 richt zich op België, India en delen van Amerika en verspreidt een nieuwe variant van MacSync die dynamische AppleScript-payloads en in-memory uitvoering ondersteunt om detectie te omzeilen en incidentrespons te bemoeilijken.

Het shellscript dat na het uitvoeren van het terminalcommando wordt gestart, communiceert met een vast ingestelde server om de AppleScript-infostealer op te halen en verwijdert tegelijkertijd sporen van datadiefstal. MacSync is in staat om diverse gegevens te stelen, waaronder inloggegevens, bestanden, keychain-databases en seed phrases van cryptowallets. De recente aanpassingen in de malware tonen aan dat de ontwikkelaars inspelen op beveiligingsmaatregelen van het besturingssysteem en software om hun effectiviteit te behouden. Daarnaast maken de aanvallers gebruik van het vertrouwen dat gebruikers hebben in ChatGPT-gesprekken om hen te overtuigen schadelijke commando's uit te voeren.

De ClickFix-campagnes maken gebruik van legitieme platforms zoals Cloudflare Pages, Squarespace en Tencent EdgeOne om valse installatie-instructies te hosten voor ontwikkelaarstools als Anthropic's Claude Code. Deze URLs worden verspreid via malafide zoekmachineadvertenties en misleiden slachtoffers tot het installeren van infostealers zoals Amatera Stealer. Deze social engineering-aanval staat bekend onder de codenamen InstallFix of GoogleFix. Volgens Guardio Labs leidt een vergelijkbare infectieketen tot de verspreiding van de Alien infostealer op Windows en Atomic Stealer op macOS, waarbij via PowerShell-commando's een legitieme Chrome-extensie binnen een kwaadaardig HTML Application-bestand wordt geladen die een versleutelde .NET-loader voor Alien in het geheugen uitvoert.