ClickFix恶意软件活动的目标是正在寻求帮助的Mac用户。
攻击者在 Medium、Craft 和 Squarespace 等平台上发布虚假的 macOS 故障排除指南。 他们的目的是诱骗用户运行终端命令,从而安装恶意软件,窃取 iCloud 数据、已保存的密码和加密钱包。
微软Defender安全研究团队公布了调查结果。该攻击活动自2025年底开始,专门针对寻求帮助解决常见问题(例如释放磁盘空间或修复系统错误)的Mac用户。.
这些页面并没有提供有效的解决方案,而是让用户复制一条命令并粘贴到终端中。这条命令会下载并运行恶意软件。.
这些误导性的博客文章教唆读者复制恶意命令并粘贴到终端中。该命令会下载恶意软件并在受害者的计算机上运行。.
这项技术名为 ClickFix。它是一种社会工程学手段,旨在转移向受害者投放恶意程序的责任。由于用户直接在终端中运行命令,macOS Gatekeeper 不会检查恶意程序。.
Gatekeeper 通常会检查通过 Finder 打开的应用程序包的代码签名和公证,但这种方法完全绕过了这一步骤。.
攻击者发起了三场目标相同的攻击活动。
微软发现了三个活动安装程序:
- 装载机。.
- 剧本。.
- 帮手。.
这三种攻击都会收集敏感数据,建立持久性,并将窃取的信息泄露到攻击者的服务器。.
这些恶意软件家族包括 AMOS、Macsync 和 SHub Stealer。如果安装了这三种恶意软件中的任何一种,它们都会窃取 iCloud 和 Telegram 帐户数据。然后,它们会查找小于 2 MB 的私人文档和照片。此外,它们还会从 Exodus、Ledger 和 Trezor 中trac加密钱包密钥,并窃取 Chrome 和 Firefox 中保存的用户名和密码。.
安装完成后,该 恶意软件 会弹出一个虚假对话框,要求输入系统密码以安装一个“辅助工具”。如果用户输入密码,攻击者就能完全访问文件和系统设置。
在某些情况下,研究人员发现攻击者删除了合法的加密钱包应用程序,并用植入木马的版本取而代之,这些木马旨在监控交易和窃取资金。.
Trezor Suite、Ledger Wallet 和 Exodus 是此次攻击的主要目标应用程序。.
该加载程序还包含一个终止开关。如果检测到俄语键盘布局,恶意软件将停止执行。.
安全研究人员发现,攻击者利用 curl、osascript 和其他 macOS 原生工具直接在内存中运行恶意代码。这种无文件攻击方式使得标准杀毒工具更难检测到此类攻击。.
攻击者瞄准加密货币开发者
来自 ANY[.]RUN 的安全研究人员发现了一个名为“Mach-O Man”的 Lazarus Group 黑客行动。该黑客利用与 ClickFix 相同的技术,通过伪造会议邀请进行攻击。他们的目标是那些 金融科技和加密货币公司 。
Cryptopolitan 报道 了 PromptMink 活动。
朝鲜黑客组织 Famous Chollima 利用人工智能生成的代码,将一个恶意 npm 包植入了一个加密货币交易项目中。该恶意软件采用双层包架构,获取了钱包数据和系统机密信息。.
这两起攻击事件都表明,加密钱包数据极具价值。攻击者正在不断调整其传播方式,从虚假博客文章到利用人工智能辅助的供应链入侵,以获取这些数据。.
最顶尖的加密货币专家都在阅读我们的简报。想 加入他们?
