ClickFix攻击活动通过虚假AI工具安装包传播MacSync信息窃取木马

研究人员发现三种不同的ClickFix攻击活动，正在将其作为传播载体来部署一款名为MacSync的macOS信息窃取木马。

Sophos安全研究人员Jagadeesh Chandraiah、Tonmoy Jitu、Dmitry Samosseiko和Matt Wixey表示："与传统的基于漏洞利用的攻击不同，这种方法完全依赖于用户交互——通常是复制和执行命令的形式——这使得它对那些可能不了解运行未知和混淆终端命令后果的用户特别有效。"

目前尚不清楚这些攻击活动是否出自同一威胁行为者之手。Jamf威胁实验室在2025年12月也标记了使用ClickFix诱饵分发恶意软件的情况。三次攻击活动的详细信息如下：

2025年11月攻击活动分析

该攻击活动以OpenAI Atlas浏览器为诱饵，通过Google赞助搜索结果传播，将用户引导至虚假的Google Sites网址。该网址包含一个下载按钮，点击后会显示打开终端应用程序并粘贴命令的指令。这一操作会下载一个shell脚本，提示用户输入系统密码，并以用户级权限运行MacSync。

2025年12月恶意广告活动

该恶意广告活动利用与"如何清理你的Mac"等查询相关的Google赞助链接，将用户引导至合法OpenAI ChatGPT网站上的共享对话，以给人留下链接安全的印象。ChatGPT对话将受害者重定向到恶意的GitHub主题登陆页面，诱使用户在终端应用程序上运行恶意命令。

2026年2月全球攻击活动

该攻击活动针对比利时、印度以及北美和南美部分地区，通过ClickFix诱饵分发新变种的MacSync。最新版本支持动态AppleScript载荷和内存执行，以规避静态分析、绕过行为检测并增加事件响应的复杂性。

恶意软件技术特征与数据窃取能力

运行终端命令后启动的shell脚本旨在联系硬编码服务器并检索AppleScript信息窃取载荷，同时采取措施删除数据盗窃的证据。该窃取器能够从受损主机收集广泛的数据，包括窃取凭据、文件、钥匙链数据库以及加密货币钱包的助记词。

最新发现表明，威胁行为者正在调整策略以领先安全工具一步，同时武器化与ChatGPT对话相关的信任来说服用户运行恶意命令。

Sophos表示，在最近攻击活动中观察到的新变种"可能代表恶意软件开发者正在适应操作系统和软件安全措施以保持有效性。因此，对典型ClickFix社会工程策略的完善是此类攻击活动未来可能继续演变的一种方式。"

InstallFix攻击技术的演进

近几个月来，ClickFix攻击活动使用Cloudflare Pages、Squarespace和腾讯EdgeOne等合法平台托管虚假的开发者工具安装指令，如Anthropic的Claude Code。这些URL通过恶意搜索引擎广告分发。

与之前一样，这些指令欺骗受害者安装信息窃取恶意软件，如Amatera Stealer。这种社会工程攻击被代号为InstallFix或GoogleFix。根据Guardio实验室负责人Nati Tal的说法，类似的感染链在Windows上部署Alien信息窃取器，在macOS上部署Atomic Stealer。

粘贴并运行所谓的Claude Code安装命令后执行的PowerShell命令会获取恶意HTML应用程序文件中的合法Chrome扩展包，然后在内存中启动Alien的混淆.NET加载器。

Push Security表示："虽然传统的ClickFix攻击需要为用户运行命令制造理由：虚假验证码、编造的错误信息、虚假系统提示——InstallFix不需要这些。前提仅仅是用户想要安装合法软件。"

AI工具成为攻击目标的趋势

根据Pillar Security的数据，在2026年2月至3月期间，至少有20个不同的恶意软件攻击活动针对人工智能和vibe编码工具。这些工具包括代码编辑器、AI智能体、大语言模型平台、AI驱动的浏览器扩展、AI视频生成器和AI商业工具。其中，九个被发现同时针对Windows和macOS，另外七个专门影响macOS用户。

Pillar Security研究员Eilon Cohen说："原因很清楚：AI/vibe编码工具用户严重偏向macOS，而macOS用户往往拥有更高价值的凭据（SSH密钥、云token、加密货币钱包）。"

"ClickFix/InstallFix技术（诱使用户将命令粘贴到终端）对开发者特别有效，因为curl | sh是一种合法的安装模式。Homebrew、Rust、nvm和许多其他开发者工具都使用这种确切的模式。恶意命令隐藏在明显的地方。"

KongTuke威胁组织的攻击活动

不用说，ClickFix（及其变种）带来的优势导致该策略被多个威胁行为者和组织采用。这包括一个名为KongTuke（也称为404 TDS、Chaya_002、LandUpdate808和TAG-124）的恶意流量分发系统，它使用受损的WordPress网站和虚假验证码诱饵来传送名为ModeloRAT的基于Python的木马。

攻击者将恶意JavaScript注入合法的WordPress网站，提示用户运行PowerShell命令，负责启动多阶段感染过程以部署木马。

Trend Micro表示："该组织继续使用这种方法以及更新的CrashFix技术，后者诱使用户安装恶意浏览器扩展来启动感染。恶意软件专门检查系统是否属于企业域并识别已安装的安全工具，然后再继续，这表明专注于企业环境而非机会性感染。"

除此之外，KongTuke攻击活动还被发现在其ClickFix脚本中使用DNS TXT记录。这些DNS TXT记录分阶段执行命令以检索和运行PowerShell脚本。

其他ClickFix风格的粘贴劫持攻击

野外检测到的其他ClickFix风格粘贴劫持攻击包括：

使用受损网站显示ClickFix页面的诱饵，模仿Google的"Aw Snap!"错误或浏览器更新来分发投放器、下载器和恶意浏览器扩展。

使用通过恶意广告/钓鱼链接提供的ClickFix诱饵将用户引导至导致部署Remcos RAT的恶意页面。

在推广$TEMU空投骗局的虚假网站上使用虚假验证码验证诱饵，触发执行PowerShell命令，运行从服务器检索的任意Python代码。

使用推广CleanMyMac的虚假网站诱使用户运行恶意终端命令，部署名为SHub Stealer的macOS窃取器，并后门化Exodus、Atomic Wallet、Ledger Wallet和Ledger Live等加密货币钱包以窃取助记词。

在受损网站上使用虚假验证码验证诱饵运行PowerShell脚本，该脚本传送MSI投放器，然后安装Deno JavaScript运行时以执行混淆代码，最终通过名为CastleLoader的Python加载器在内存中安装CastleRAT。

WordPress网站遭受大规模感染

在上周发布的报告中，Rapid7披露，高度可信的WordPress网站正被作为正在进行的大规模攻击活动的一部分遭到入侵，旨在注入冒充Cloudflare人工验证挑战的ClickFix植入物。该活动自2025年12月以来一直活跃。

已在至少12个国家识别出250多个受感染网站，包括澳大利亚、巴西、加拿大、捷克、德国、印度、以色列、新加坡、斯洛伐克、瑞士、英国和美国。这些网站被确定为地区新闻媒体和当地企业。

这些诱饵的最终目标是使用不同的窃取器恶意软件系列感染Windows系统：StealC Stealer、Vidar Stealer的改进版本、名为Impure Stealer的.NET窃取器，以及称为VodkaStealer的C++窃取器。窃取的数据然后可以作为金融盗窃或后续攻击的跳板。

WordPress网站被黑客攻击的确切方法目前尚不清楚。然而，怀疑涉及利用最近披露的WordPress插件和主题中的安全漏洞、之前窃取的管理员凭据或公开可访问的wp-admin界面。

防护建议与安全措施

为了应对威胁，建议网站管理员保持网站最新，使用强密码进行管理访问，设置双因素身份验证，并扫描可疑的管理员帐户。

Rapid7表示："对于浏览网页的个人来说，最好的防御是保持谨慎，保持零信任心态，使用信誉良好的安全软件，并及时了解恶意行为者使用的最新钓鱼和ClickFix策略。从这份报告中得出的一个重要结论应该是，即使是受信任的网站也可能被入侵并武器化对付毫无戒心的访问者。"

Q&A

Q1：ClickFix攻击是什么？它是如何工作的？

A：ClickFix攻击是一种社会工程攻击方式，完全依赖用户交互。攻击者诱使用户复制并在终端中执行恶意命令，而不是利用系统漏洞。这种方法对开发者特别有效，因为curl | sh是合法的软件安装模式，恶意命令能够隐藏在正常安装流程中。

Q2：MacSync信息窃取木马有什么危害？

A：MacSync是一款专门针对macOS的信息窃取木马，能够收集广泛的敏感数据，包括用户凭据、文件、钥匙链数据库以及加密货币钱包的助记词。最新变种支持动态AppleScript载荷和内存执行，能够规避静态分析和行为检测，同时会删除数据盗窃证据。

Q3：如何防护ClickFix类型的攻击？

A：防护建议包括：保持谨慎的零信任心态，不轻易运行来源不明的终端命令；使用信誉良好的安全软件；及时了解最新的钓鱼和ClickFix攻击策略；对于网站管理员，要保持网站更新、使用强密码、启用双因素认证并定期扫描可疑账户。