IT 之家 4 月 9 日消息,苹果设备管理和安全公司 Jamf 昨日(4 月 8 日)发布报告,称 Mac 平台 ClickFix 攻击手法升级,攻击者放弃传统的终端复制粘贴模式,转而利用系统自带的脚本编辑器作为突破口。
IT 之家曾于今年 3 月报道,有黑客发起名为 ClickFix 的新型攻击手段,通过虚假人机验证页面诱骗 Mac 用户安装恶意软件。
安全研究人员指出,ClickFix 攻击的检测量在 2024 年至 2025 年间激增了超过 500%,现已成为互联网上增长最快的社会工程学威胁之一。
受害者访问被攻陷的网站或点击恶意广告后,会看到伪造的验证码页面。不同于常规的图片识别或勾选框,该页面指示用户打开系统自带的 " 终端 " 工具,并粘贴一段看似复杂的命令以完成 " 验证 "。因此苹果公司在 macOS 26.4 更新中,引入粘贴命令扫描机制,从而规避此类风险。
而攻击者也调整分发策略,攻击者构建了伪装成苹果官方风格的恶意网页,谎称用户 Mac 存储空间不足。页面诱导用户点击 " 执行 " 按钮,触发 applescript://URL 协议,直接调起脚本编辑器应用。
攻击的第二阶段会将 Mach-O 二进制文件下载至 / tmp 目录,移除扩展属性并标记为可执行后启动。Jamf 安全团队确认该载荷为 Atomic Stealer 变种,专门窃取系统敏感数据。
