ClickFix攻击升级:绕过macOS 26.4防护,用脚本编辑器投毒
IT之家 4 月 9 日消息,苹果设备管理和安全公司 Jamf 昨日(4 月 8 日)发布报告,称 Mac 平台 ClickFix 攻击手法升级,攻击者放弃传统的终端复制粘贴模式,转而利用系统自带的脚本编辑器作为突破口。
IT之家曾于今年 3 月报道,有黑客发起名为 ClickFix 的新型攻击手段,通过虚假人机验证页面诱骗 Mac 用户安装恶意软件。
安全研究人员指出,ClickFix 攻击的检测量在 2024 年至 2025 年间激增了超过 500%,现已成为互联网上增长最快的社会工程学威胁之一。
受害者访问被攻陷的网站或点击恶意广告后,会看到伪造的验证码页面。不同于常规的图片识别或勾选框,该页面指示用户打开系统自带的“终端”工具,并粘贴一段看似复杂的命令以完成“验证”。因此苹果公司在 macOS 26.4 更新中,引入粘贴命令扫描机制,从而规避此类风险。
此前 ClickFix 攻击需要调用终端工具
而攻击者也调整分发策略,攻击者构建了伪装成苹果官方风格的恶意网页,谎称用户 Mac 存储空间不足。页面诱导用户点击“执行”按钮,触发 apple://URL 协议,直接调起脚本编辑器应用。
浏览器随即弹出看似常规的权限请求,一旦用户点击允许,脚本编辑器便会加载预置的恶意代码。这种浏览器触发系统应用的模式,利用了用户对系统工具的信任心理,大幅提升了攻击成功率。
恶意脚本在后台运行经过混淆处理的 Shell 命令,利用 tr 工具解码隐藏 URL,通过 curl 下载远程载荷,并直接通过管道传递给 zsh 在内存中执行。
攻击的第二阶段会将 Mach-O 二进制文件下载至 / tmp 目录,移除扩展属性并标记为可执行后启动。Jamf 安全团队确认该载荷为 Atomic Stealer 变种,专门窃取系统敏感数据。
此次攻击暴露了 macOS 安全防护的盲区。苹果此前重点加固了终端的粘贴执行流程,但未完全覆盖脚本编辑器这一执行路径。攻击者正是利用这一逻辑漏洞,将原本需要手动输入命令的繁琐步骤,转化为浏览器一键触发的流畅体验,让用户更难察觉异常。