網(wǎng)絡(luò)安全研究人員近日發(fā)現(xiàn)一種新型惡意軟件攻擊活動，攻擊者利用ClickFix社會工程學(xué)手段誘騙用戶在蘋果macOS系統(tǒng)上下載名為Atomic macOS Stealer（AMOS）的信息竊取程序。

攻擊手法分析

據(jù)CloudSEK披露，該攻擊活動通過仿冒美國電信運(yùn)營商Spectrum的域名拼寫錯(cuò)誤（typosquat）網(wǎng)站實(shí)施攻擊。安全研究員Koushik Pal在本周發(fā)布的報(bào)告中指出："攻擊者向macOS用戶提供惡意shell腳本，該腳本不僅竊取系統(tǒng)密碼，還會下載AMOS變種進(jìn)行后續(xù)攻擊。該腳本利用macOS原生命令獲取憑證、繞過安全機(jī)制并執(zhí)行惡意二進(jìn)制文件。"

研究人員根據(jù)惡意軟件源代碼中的俄語注釋判斷，這很可能是俄語系網(wǎng)絡(luò)犯罪團(tuán)伙所為。

攻擊流程詳解

攻擊始于仿冒Spectrum的網(wǎng)頁（"panel-spectrum[.]net"或"spectrum-ticket[.]net"）。訪問者會收到提示信息，要求完成hCaptcha驗(yàn)證以"檢查連接安全性"。當(dāng)用戶點(diǎn)擊"我是人類"復(fù)選框后，系統(tǒng)會顯示"驗(yàn)證失敗"錯(cuò)誤信息，并誘導(dǎo)用戶點(diǎn)擊"替代驗(yàn)證"按鈕。

此時(shí)攻擊命令會自動復(fù)制到用戶剪貼板，受害者會根據(jù)操作系統(tǒng)類型收到不同指令。Windows用戶被引導(dǎo)通過運(yùn)行對話框執(zhí)行PowerShell命令，而macOS用戶則需在終端應(yīng)用中執(zhí)行shell腳本。該腳本會誘使用戶輸入系統(tǒng)密碼，并下載第二階段載荷——已知竊密軟件Atomic Stealer。

Pal指出："投遞網(wǎng)站存在明顯的邏輯缺陷，例如跨平臺指令不匹配，表明攻擊基礎(chǔ)設(shè)施是倉促搭建的。該AMOS變種活動的投遞頁面在編程和前端邏輯上均存在錯(cuò)誤。例如向Linux用戶代理復(fù)制PowerShell命令，同時(shí)向Windows和Mac用戶顯示'按住Windows鍵+R'的指令。"

ClickFix攻擊趨勢

這一發(fā)現(xiàn)正值ClickFix技術(shù)被廣泛用于傳播各類惡意軟件家族之際。Darktrace表示："實(shí)施此類定向攻擊的行為者通常使用相似的戰(zhàn)術(shù)、技術(shù)和程序（TTP）獲取初始訪問權(quán)限，包括魚叉式釣魚攻擊、路過式下載攻擊，或利用用戶對GitHub等知名平臺的信任來投遞惡意載荷。"

通過這類渠道分發(fā)的鏈接會將用戶重定向至惡意URL，顯示虛假的CAPTCHA驗(yàn)證頁面。當(dāng)用戶完成驗(yàn)證時(shí)，實(shí)際上已被誘導(dǎo)執(zhí)行惡意命令來"修復(fù)"根本不存在的系統(tǒng)問題。這種高效的社會工程學(xué)手段最終導(dǎo)致用戶自行破壞系統(tǒng)安全防護(hù)。

Darktrace分析的2025年4月某起事件中，不明威脅行為者利用ClickFix作為攻擊載體，下載隱蔽載荷深入目標(biāo)環(huán)境進(jìn)行橫向移動，通過HTTP POST請求將系統(tǒng)信息發(fā)送至外部服務(wù)器，最終實(shí)現(xiàn)數(shù)據(jù)外泄。

其他變種攻擊

其他ClickFix攻擊還使用偽造的Google reCAPTCHA和Cloudflare Turnstile等流行驗(yàn)證服務(wù)，以常規(guī)安全檢查為幌子投遞惡意軟件。這些偽造頁面是合法網(wǎng)站的"像素級復(fù)制品"，有時(shí)甚至被注入到被入侵的真實(shí)網(wǎng)站中。通過虛假Turnstile頁面分發(fā)的惡意載荷包括Lumma、StealC等竊密軟件，以及NetSupport RAT等完整的遠(yuǎn)程訪問木馬（RAT）。

SlashNext的Daniel Kelley表示："現(xiàn)代互聯(lián)網(wǎng)用戶飽受垃圾檢查、驗(yàn)證碼和安全提示的困擾，已形成快速點(diǎn)擊通過的習(xí)慣。攻擊者利用這種'驗(yàn)證疲勞'心理，知道只要流程看起來常規(guī)，多數(shù)用戶就會按步驟執(zhí)行。"