macOS系统遭ClickFix攻击，AppleScript窃取器盗取账户凭证与加密钱包

一场针对macOS用户的ClickFix攻击活动正在蔓延，攻击者通过基于AppleScript的信息窃取程序，从14款浏览器、16个加密货币钱包以及200余个浏览器扩展中批量收割用户凭证与活跃会话Cookie。

Netskope威胁实验室研究员Jan Michael Alcantara向媒体透露，该团队最早于上月发现这一攻击活动，而类似案例直至上周仍在持续出现。

ClickFix是一种广泛流行的社会工程学手段，惯用伪造的系统错误修复提示或CAPTCHA验证界面诱骗用户在自己的设备上执行恶意命令。

研究人员尚未确认幕后黑手的身份，但指出该恶意软件能够同时感染Windows与macOS系统。此前Netskope已就Windows端攻击发出预警。攻击者利用客户端JavaScript根据用户代理字符串对受害者进行过滤，跳过移动端设备，并将桌面用户分别引导至对应系统的恶意载荷。目前已知的受害者集中在亚洲，且多从事金融行业。

当恶意软件检测到桌面环境后，会将用户引导至伪造的CAPTCHA页面，进一步判断具体的操作系统类型，并识别用户代理中的macOS特征字符串，从而加载基于AppleScript的窃取程序。

伪造的CAPTCHA会提示用户打开Mac上的Spotlight功能，并将所谓的"验证码"粘贴至搜索栏。这段"验证码"实为一条curl命令，一旦用户按下回车键执行，该命令便会悄无声息地从攻击者控制的服务器下载恶意脚本。该脚本会采集受害者的用户名，将命令与控制（C2）服务器地址硬编码其中，并在/tmp/xdivcmp/目录下创建临时文件夹，用于暂存所有窃取的数据，随后再将其发送至C2服务器。

苹果公司未就此事作出任何回应。值得注意的是，最新版本的macOS Tahoe（26.4）或macOS Sequoia已新增专门拦截ClickFix攻击的防护功能——当用户尝试向终端应用粘贴潜在恶意命令时，系统将发出警告提示。因此，建议用户及时更新操作系统，以增强对此类攻击的检测与防范能力。

然而，若用户仍在使用旧版系统，或无视macOS警告选择"仍然粘贴"，恶意软件便会进入凭证窃取阶段。它会弹出一个极具迷惑性的社会工程学对话框，从本地资源调用真实的macOS系统锁图标，让用户误以为这是苹果官方弹窗，进而输入系统密码。

更为恶劣的是，该恶意软件还采取了强制手段逼迫用户输入凭证：对话框仅提供一个操作按钮，没有任何关闭选项，且会持续弹出，直至受害者输入正确密码为止。

密码验证通过macOS目录服务认证实时进行，若输入错误，对话框将反复出现，形成死循环，直至用户提供正确密码。

在获取密码后，恶意软件开始大规模窃取用户数据，包括macOS钥匙串（其中存储有已保存的密码、Wi-Fi凭证、安全备注及加密密钥），同时将受害者密码以明文形式截获。

该窃取程序还将12款基于Chromium内核的浏览器列为攻击目标，包括：Chrome、Brave、Edge、Vivaldi、Opera、Opera GX、Chrome Beta、Chrome Canary、Chromium、Chrome Dev、Arc以及CocCoc。针对上述每款浏览器，恶意软件均会搜索用户配置文件，窃取会话Token、身份验证Cookie、已保存密码及其他自动填充信息（含信用卡号）、200余款浏览器扩展的数据，以及扩展数据库内容。

浏览器扩展数据的窃取尤为危险——该恶意软件专门配置了针对加密货币钱包的窃取模块，涵盖MetaMask、Phantom、Coinbase Wallet、Trust Wallet及数十款区块链专属钱包。此外，它还会收割LastPass、1Password、Dashlane、Bitwarden等密码管理器的凭证，Authy、Google Authenticator扩展等双因素认证应用的数据，以及用于企业访问的各类VPN和单点登录扩展信息。

除Chromium系浏览器数据外，该恶意软件还会窃取Firefox及同样基于Firefox内核的Waterfox浏览器中的Cookie数据库、表单自动填充数据、主密码及已保存凭证。

在浏览器扩展之外，该窃取程序还瞄准了16款桌面端独立加密货币钱包应用：Exodus、Atomic、Electrum、Coinomi、Guarda、Ledger Live、Trezor Suite、Bitcoin Core、Litecoin Core、Dash Core、Dogecoin Core、Monero、Wasabi、Sparrow、Electron Cash以及Electrum-LTC。

Alcantara表示，此次信息窃取活动与微软上周披露的另一起同样针对macOS用户凭证及加密货币钱包的攻击活动无关——尽管两者均采用了在恶意软件运行期间配合社会工程学手段的类似技术，后者已被归因于朝鲜黑客组织。

Netskope已在其GitHub仓库中公开了与该恶意软件相关的完整入侵指标列表及相关脚本，建议安全人员查阅参考。正如安全研究人员所指出的："此次活动再次警示我们，社会工程学依然是威胁Windows与macOS用户的首要手段。"

Q&A

Q1：ClickFix攻击是什么？它是怎么攻击macOS用户的？

A：ClickFix是一种社会工程学攻击手段，通过伪造系统错误修复提示或CAPTCHA验证界面，诱骗用户在自己的设备上执行恶意命令。针对macOS用户时，攻击者会引导受害者打开Spotlight功能，将伪装成"验证码"的curl命令粘贴其中并执行，从而悄无声息地下载恶意AppleScript脚本，进而窃取浏览器凭证、加密钱包及系统密码等敏感数据。

Q2：ClickFix攻击会窃取哪些数据？

A：该恶意软件窃取范围极广，包括：macOS钥匙串中存储的密码、Wi-Fi凭证及加密密钥；14款浏览器的会话Token、Cookie、保存密码及信用卡信息；200余款浏览器扩展的数据；LastPass、1Password等密码管理器凭证；以及Exodus、Ledger Live等16款加密货币钱包应用的数据。

Q3：如何防范macOS上的ClickFix攻击？

A：建议用户及时将macOS更新至最新版本（macOS Tahoe 26.4或macOS Sequoia），该版本已内置防护功能，当用户尝试向终端粘贴潜在恶意命令时会发出警告。此外，应对任何要求在Spotlight或终端中粘贴并执行命令的弹窗保持高度警惕，即使其外观酷似官方Apple界面，也切勿轻信。