虽然 macOS 在设计上具有固有的安全性,但黑客/诈骗者越来越依赖社会工程学来绕过原生保护机制。Netskope Threat Labs 发布的一份新报告详细披露了一种新的、高度复杂的 macOS ClickFix 攻击活动。这种攻击通过诱骗用户部署基于 AppleScript 的信息窃取器以及持久性远程访问木马。
无文件感染链
新的 macOS ClickFix 攻击活动依赖于经典的社会工程学框架。用户被引导至被入侵或攻击者控制的网站,这些网站伪装成合法服务(这也是 BrandShield 等服务日益成为必需品的原因)。Netskope 发现伪造的 macOS 优化工具页面、假 GitHub 仓库,甚至本地化的 IT 支持页面。这些网站指示终端用户手动将特定命令复制并粘贴到 macOS 终端中。

当受害者点击假网站上的复制按钮时,恶意 JavaScript 会悄无声息地将执行字符串放入他们的剪贴板。在终端中运行此命令会抓取一个完全在内存中执行的脚本。这种无文件方法在本地驱动器上不留下任何痕迹,使得初始加载器能够轻松规避标准恶意软件扫描。
一旦二级有效载荷运行,它会显示一个假的 Mac 系统偏好设置对话框,提示终端用户输入其 macOS 登录密码来更新设置。如果用户输入密码,恶意软件会使用它来解锁 macOS 钥匙串,并开始提取保存的密码、会话 cookie 以及来自消息应用的 数据。
除此之外,更糟糕的行为是它如何处理桌面加密货币钱包。该恶意软件针对 25 种不同的桌面钱包。它会主动终止正在运行的合法应用,用木马化版本覆盖核心应用 bundle,并强制进行临时代码签名。这会恢复结构上有效的签名,允许新修改的应用在不触发 macOS Gatekeeper 警告的情况下启动。如果你持有任何大量加密货币,请不要使用单签名钱包,以避免此类风险。
为了建立长期访问,有效载荷会安装一个伪装成 Apple 系统账户进程的后台配置文件,名为
com.apple.accountsd
。该进程每分钟轮询一次命令与控制服务器。这使得攻击者能够维持持续的信标循环,并在任何时候远程在受感染的 Mac 上执行任意代码。
我们的看法
这场攻击活动完美展示了纯脚本化 macOS 有效载荷能够达到的程度。攻击者并未使用零日漏洞或复杂的内核漏洞利用。他们只是简单地将原生 macOS 工具链反过来对付用户。
对于 IT 部门而言,这凸显了持续安全培训的至关重要性。必须教育用户永远不要将未知命令粘贴到终端中,无论网站看起来多么合法。你可以说,在企业 Mac 上屏蔽终端访问可能会成为许多角色的默认设置。

















