ClickFix惡意軟件活動的目標是正在尋求幫助的Mac用戶。
攻擊者在 Medium、Craft 和 Squarespace 等平臺上發佈虛假的 macOS 故障排除指南。 他們的目的是誘騙用戶運行終端命令,從而安裝惡意軟件,竊取 iCloud 數據、已保存的密碼和加密錢包。
微軟Defender安全研究團隊公佈了調查結果。該攻擊活動自2025年底開始,專門針對尋求幫助解決常見問題(例如釋放磁盤空間或修復系統錯誤)的Mac用戶。.
這些頁面並沒有提供有效的解決方案,而是讓用戶複製一條命令並粘貼到終端中。這條命令會下載並運行惡意軟件。.
這些誤導性的博客文章教唆讀者複製惡意命令並粘貼到終端中。該命令會下載惡意軟件並在受害者的計算機上運行。.
這項技術名爲 ClickFix。它是一種社會工程學手段,旨在轉移向受害者投放惡意程序的責任。由於用戶直接在終端中運行命令,macOS Gatekeeper 不會檢查惡意程序。.
Gatekeeper 通常會檢查通過 Finder 打開的應用程序包的代碼簽名和公證,但這種方法完全繞過了這一步驟。.
攻擊者發起了三場目標相同的攻擊活動。
微軟發現了三個活動安裝程序:
- 裝載機。.
- 劇本。.
- 幫手。.
這三種攻擊都會收集敏感數據,建立持久性,並將竊取的信息泄露到攻擊者的服務器。.
這些惡意軟件家族包括 AMOS、Macsync 和 SHub Stealer。如果安裝了這三種惡意軟件中的任何一種,它們都會竊取 iCloud 和 Telegram 帳戶數據。然後,它們會查找小於 2 MB 的私人文檔和照片。此外,它們還會從 Exodus、Ledger 和 Trezor 中trac加密錢包密鑰,並竊取 Chrome 和 Firefox 中保存的用戶名和密碼。.
安裝完成後,該 惡意軟件 會彈出一個虛假對話框,要求輸入系統密碼以安裝一個“輔助工具”。如果用戶輸入密碼,攻擊者就能完全訪問文件和系統設置。
在某些情況下,研究人員發現攻擊者刪除了合法的加密錢包應用程序,並用植入木馬的版本取而代之,這些木馬旨在監控交易和竊取資金。.
Trezor Suite、Ledger Wallet 和 Exodus 是此次攻擊的主要目標應用程序。.
該加載程序還包含一個終止開關。如果檢測到俄語鍵盤佈局,惡意軟件將停止執行。.
安全研究人員發現,攻擊者利用 curl、osascript 和其他 macOS 原生工具直接在內存中運行惡意代碼。這種無文件攻擊方式使得標準殺毒工具更難檢測到此類攻擊。.
攻擊者瞄準加密貨幣開發者
來自 ANY[.]RUN 的安全研究人員發現了一個名爲“Mach-O Man”的 Lazarus Group 黑客行動。該黑客利用與 ClickFix 相同的技術,通過僞造會議邀請進行攻擊。他們的目標是那些 金融科技和加密貨幣公司 。
Cryptopolitan 報道 了 PromptMink 活動。
朝鮮黑客組織 Famous Chollima 利用人工智能生成的代碼,將一個惡意 npm 包植入了一個加密貨幣交易項目中。該惡意軟件採用雙層包架構,獲取了錢包數據和系統機密信息。.
這兩起攻擊事件都表明,加密錢包數據極具價值。攻擊者正在不斷調整其傳播方式,從虛假博客文章到利用人工智能輔助的供應鏈入侵,以獲取這些數據。.
最頂尖的加密貨幣專家都在閱讀我們的簡報。想 加入他們?
