macOS ClickFix攻击来袭,企业应终结90天系统更新延迟策略

近期,macOS平台出现一种名为ClickFix的社会工程攻击:黑客通过伪造CAPTCHA或浏览器更新提示,诱导用户将恶意脚本粘贴至终端执行,进而窃取macOS钥匙串数据库及浏览器会话Cookie,从而绕过多因素认证。苹果已在macOS Sequoia中引入终端粘贴安全警告加以防范。然而,若企业仍采用90天更新延迟策略,员工将长达三个月无法获得此类系统级防护。建议IT团队将最长延迟窗口压缩至30天。

过去几周,许多Mac管理员都在讨论Netskope威胁实验室发布的一份报告,内容涉及一种新型macOS ClickFix攻击活动。这种攻击手法堪称精妙却令人不寒而栗,它也恰恰说明了为何传统的90天系统更新延迟窗口期必须被废弃——无论是由苹果主动调整,还是由IT团队自行收紧政策。

ClickFix攻击原理

ClickFix是一种攻击策略,攻击者通过伪造CAPTCHA验证页面或虚假的浏览器更新提示,诱骗用户将恶意脚本复制并粘贴到终端(Terminal)应用中执行。一旦用户运行该脚本,系统便会弹出一个与macOS原生系统提示界面几乎一模一样的AppleScript对话框。

该对话框会持续要求用户输入密码,且没有关闭按钮,循环提示直至用户妥协输入为止。密码一旦被捕获,恶意软件随即窃取整个macOS钥匙串数据库,以及Safari、Chrome等浏览器中的实时会话Cookie。窃取实时会话Cookie是此类攻击的终极目标,因为它可以让攻击者完全绕过多重身份验证机制。

苹果已开始应对

苹果已针对这一特定攻击类型采取了反制措施。在macOS Sequoia和macOS Tahoe 26.4中,苹果引入了终端原生安全警告功能。该功能会在用户尝试将来自不可信来源的有害命令粘贴到终端时发出警报,从而有效干扰ClickFix攻击。

90天更新延迟政策已不合时宜

这正是本文的核心观点所在。长期以来,苹果允许IT管理员通过设备管理平台将macOS更新延迟最多90天。多年来,这被视为IT管理的最佳实践,能够为团队提供足够时间测试内部应用、验证兼容性,并确保在整个设备群中平稳推进更新部署。

然而,在AI时代,威胁态势的演变速度早已不是三个月的延迟所能应对的。如果企业将更新推迟长达90天,用户将错过终端粘贴警告等关键的操作系统级防护措施。也就是说,整整三个月内,员工都暴露在本可被最新系统轻易拦截的社会工程攻击之下。

建议将延迟窗口缩短至30至45天

苹果或许应该重新审视设备管理框架,将软件更新的最大延迟窗口从90天正式缩短至30至45天。现实情况是:如果某款企业应用的软件供应商在macOS新版本发布后30天内仍未完成适配,那是供应商的问题,而非苹果的问题。

即便苹果继续保留90天选项,IT团队也应主动收紧内部策略。将最大延迟窗口设定为30天,是在应用兼容性测试与企业数据安全防护之间取得平衡的最佳方案。企业不能承受让设备群在整整一个季度内持续处于暴露状态所带来的风险。

Q&A

Q1:ClickFix攻击是什么?它是如何入侵Mac设备的?

A:ClickFix是一种社会工程攻击手法,攻击者通过伪造CAPTCHA页面或虚假浏览器更新提示,诱导用户将恶意脚本粘贴到macOS终端中运行。脚本执行后会弹出仿冒系统提示框,持续索要用户密码直至成功获取,随后窃取macOS钥匙串数据库及浏览器实时会话Cookie,甚至可以绕过多重身份验证。

Q2:苹果在macOS Sequoia和Tahoe 26.4中新增了哪些安全防护措施?

A:苹果在macOS Sequoia和macOS Tahoe 26.4中引入了终端原生安全警告功能。当用户尝试将来自不可信来源的命令粘贴到终端时,系统会自动发出警报,从而有效阻断ClickFix类攻击的执行路径。这是操作系统层面的主动防御能力,需要设备保持最新版本才能生效。

Q3:企业IT团队应该如何调整macOS更新延迟策略?

A:建议将macOS更新的最大延迟窗口从原来的90天缩短至30天。30天的时间已足够完成应用兼容性测试,同时能确保员工及时获得系统级安全防护。如果软件供应商在新系统发布30天后仍未完成适配,应视为供应商问题,而非推迟更新的理由。

来源:Electrek

0赞

好文章,需要你的鼓励

2026

05/25

15:02

分享

点赞

邮件订阅