据安全媒体PCMag报道,美国联邦调查局局长卡什·帕特尔(Kash Patel)联合创办的服装电商网站BasedApparel.com被发现托管新型“ClickFix”攻击,意图诱骗macOS用户感染恶意软件。
攻击手法
该攻击利用社会工程学技巧,当用户访问BasedApparel.com时会跳转至伪装的Cloudflare页面。页面声称检测到“异常网络流量”,要求用户进行“人机验证”。与真实Cloudflare验证码不同,攻击者指示用户打开Mac终端内置工具,并点击“复制”按钮粘贴所谓的验证ID。
实际上,用户复制的并非显示的简单文本,而是一段经Base64编码的混淆命令。受害者按指示将命令粘贴至终端执行后,该脚本会从攻击者控制的服务器下载shell payload。安全研究员逆向分析发现,该payload可窃取Chromium系浏览器保存的凭证及加密货币钱包数据,打包成ZIP后上传至黑客服务器。
影响与防护
独立安全研究员“debbie”将该样本提交 VirusTotal 检测,27款主流杀毒引擎均标记为木马/信息窃取类恶意软件。值得注意的是,攻击者使用AppleScript编写脚本,并进行双重Base64编码以规避检测。
近年来ClickFix攻击持续泛滥,黑客通常通过窃取合法网站登录凭证、篡改暴露的管理后台或利用漏洞插件植入攻击代码。Apple已在macOS Tahoe 26.4中引入防护机制,可在用户复制可疑命令至终端时发出警告。
编注:材料来源于PCMag原始报道,部分内容截取自亲历攻击的安全研究员Debbie公开信息;作者简介段落与正文主题无关未采用。