报道介绍了一种名为“ClickFix”的新型社会工程学攻击,通过伪造的人机验证页面诱导用户在 macOS 上打开终端并粘贴命令,从而下载并安装窃取浏览器凭证、Cookie 及加密货币钱包数据的恶意软件。此类攻击利用系统自带工具执行恶意操作(living-off-the-land),2024–2025 年检测量激增超过 500%,难以被传统基于下载行为的安全防护拦截。专家建议任何要求打开终端或 PowerShell 并粘贴命令的验证提示均为可疑,应直接关闭页面。
3 月 11 日消息,科技媒体 AppleInsider 昨日(3 月 10 日)发布博文,报道称近期有黑客发起名为“ClickFix”的新型攻击手段,通过虚假人机验证页面诱骗 Mac 用户安装恶意软件。
IT之家援引博文介绍,受害者访问被攻陷的网站或点击恶意广告后,会看到伪造的验证码页面。不同于常规的图片识别或勾选框,该页面指示用户打开系统自带的“终端”工具,并粘贴一段看似复杂的命令以完成“验证”。
一旦用户执行了这些命令,恶意软件便会悄悄下载并安装到设备中,进而窃取浏览器凭证、Cookie 及加密货币钱包数据。
安全研究人员指出,ClickFix 攻击的检测量在 2024 年至 2025 年间激增了超过 500%,现已成为互联网上增长最快的社会工程学威胁之一。
早期的攻击主要针对 Windows 系统,但目前已出现了专门针对 macOS 的变种,甚至能根据用户系统自动显示定制化指令。
这种攻击之所以难以防范,是因为它利用了合法的系统工具(如终端)而非自定义的恶意加载程序,这种技术被称为“利用系统自带工具”。
传统安全软件通常关注可疑文件的下载,而 ClickFix 让用户自己执行代码,从而绕过了许多基于下载行为的防御机制。由于系统难以区分用户是进行正常维护还是执行恶意操作,只要用户主动运行命令,macOS 的安全保护往往无法拦截。
专家强调,识别此类骗局非常简单:任何要求用户打开终端或 PowerShell 并粘贴命令的验证提示都是恶意的。正规的人机验证系统绝不会要求用户进行此类操作,遇到此类弹窗,最安全的做法是直接关闭页面。