Jamf Threat Labs作为该公司的安全研究部门,最近分享了他们在社交媒体平台X上发现的一个ClickFix风格攻击的详细信息。该广告来自一个知名账号,以流行Mac应用的名义推广了一个恶意域名。
涉事广告伪装成DynamicLake,这是一款合法的Mac实用工具,能将MacBook的刘海区域变成非官方但功能完整的Dynamic Island。

恶意赞助推文截图,伪装成真实的DynamicLake。
via Jamf Threat Labs。
但根据Jamf的调查,上面显示的原始链接会重定向到dynamicmacisland[.]com,这是一个与真实应用毫无关联的恶意仿冒域名。
进入页面后,访客会被指示打开Terminal并粘贴安装代码,该代码会在受害者Mac上悄无声息地安装恶意软件。这是一种典型的ClickFix社会工程攻击手法。
由Apple签名并公证的合法应用绝不会要求你这样做。

带有ClickFix攻击的恶意落地页。截图 via Jamf Threat Labs。
Jamf将有效负载识别为最近的Atomic Stealer变种,他们将其追踪为MacSync。此外,该攻击中还发现了DigitStealer的案例。
该账号颇具知名度
这条广告来自一个经过验证且拥有相当多粉丝的账号,这让整个事件变得更加有趣也更加危险。我选择对账号名称保持匿名,以保护账号所有者的身份,因为他们并非有意传播恶意软件。
从表面看,账号所有者信任了这条广告并批准在其账号上投放,认为它是合法的,完全不知道它指向了一个恶意域名。验证徽章和熟悉的名称赋予了随机账号无法比拟的信任度。
信任也是任何优秀社会工程攻击的基本基础。
更大的问题是X如何允许此事发生
账号所有者被骗是一回事,X批准该广告并将其作为推广帖推送出去则是另一回事。
这条广告通过了X的广告系统、各项检查,却依然触达了用户。仿冒域名和单次重定向几乎肯定是为了帮助绕过X的任何自动化扫描。而它成功了……
这应该会让你产生多次似曾相识的感觉。近年来,我们看到Google Ads批准了数量惊人的恶意域名,并在Google搜索结果顶部进行推广。去年就有一起案例涉及在搜索结果中推广假Homebrew列表,向Mac用户分发恶意软件。
我们已联系X寻求评论,但尚未立即收到回复。
开发者的回应
虽然这是我们首次看到通过X广告推广恶意软件的案例,但真实DynamicLake的开发者已经与恶意克隆版本斗争了一段时间。
这些假冒版本已经泛滥成灾,以至于他们主动联系我们,并请求在本文中分享一份声明:
我对任何想安装DynamicLake却最终下载了这个恶意软件的人深表歉意。DynamicLake只是一款为Mac带来Dynamic Island的应用,我从未想过有人会以这种方式滥用品牌。
我正在努力打击这些假冒副本,但不幸的是,每隔几个月就会出现新的假冒版本。我不会放弃保护这个项目和社区。
如果您需要任何帮助,或者不确定自己下载的是否是正版应用,请随时联系我。请确保只从DynamicLake.com下载DynamicLake,那里的购买通过Gumroad安全处理。
感谢您的支持,再次为给您带来的不便表示歉意。
Jamf Threat Labs已向X报告了这条广告,它很快就被移除。



















