ClickFix 恶意软件活动通过脚本编辑器绕过macOS防御

执行摘要

ClickFix 恶意软件活动开发了一种新颖的方法来绕过 macOS Sequoia（15.x）和 Sonoma（14.x）中的关键安全警告。威胁行为者已经从指导受害者直接将恶意命令粘贴到 Terminal 中——这一过程现在被苹果的 pasteboard 保护标记为可疑——转变为使用内置的 Script Editor 应用程序。这种技术有效地绕过了系统警告，展示了一种适应性社会工程策略，增加了 Mac 用户成功感染的风险。

技术分析

根据 Malwarebytes 的分析，这种规避的核心在于利用 Terminal 和 Script Editor 之间的功能差异。从 macOS Sonoma 开始，苹果引入了一个安全特性，当用户将命令粘贴到 Terminal 时会警告用户，特别是检查 pasteboard 中已知的恶意模式。通常使用假冒技术支持弹出窗口来诱骗受害者的 ClickFix 活动，以前依赖于受害者将 curl 或 bash 命令直接粘贴到 Terminal 中以下载和执行有效载荷。

新方法指导用户打开 Script Editor（位于 /Applications/Utilities/），创建一个新文档，并在那里粘贴恶意命令。攻击者的脚本随后使用 AppleScript 命令 do shell script 来执行粘贴的内容。至关重要的是，pasteboard 警告与 Terminal 应用程序相关联。由于 Script Editor 不受相同的粘贴板检查，恶意命令执行时不会触发苹果内置的警报。最终的执行链通常涉及从被破坏的网站下载第二阶段有效载荷，通常是一个伪装的安装程序包。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

该活动采用了一致的 TTP 矩阵：

• 战术：初始访问 (TA0001)
  • 技术：路过式入侵 (T1189)：受害者遇到假冒的浏览器警告或弹出窗口，声称他们的系统被感染或有严重错误。
  • 技术：用户执行 (T1204)：社会工程诱使用户按照指示“修复”不存在的问题。
• 战术：执行 (TA0002)
  • 技术：命令和脚本解释器 (T1059)：滥用 macOS 的 Script Editor 和 do shell script 命令来执行恶意 shell 脚本。
  • 子技术：AppleScript (T1059.002)：Script Editor 中的主要执行机制。
• 战术：防御绕过 (TA0005)
  • 技术：滥用执行护栏 (T1480)：特别绕过为 Terminal.app 设计的 pasteboard 警告护栏。
  • 技术：伪装 (T1036)：最终有效载荷通常是签名的，非法安装程序包（.pkg 文件）伪装成合法软件。

威胁行为者背景

这些活动背后的威胁行为者被追踪为 ClickFix。这不是一个复杂的 APT 组织，而是一个以财务为动机的实体，操作大规模的、机会主义的社会工程活动。他们的主要关注点多年来一直是 macOS 用户，不断迭代交付方法以克服苹果的安全改进。他们的坚持表明了一个成功的、以利润为导向的操作，适应 macOS 平台不断变化的安全环境。

缓解措施与建议

1. 用户教育： 这个攻击链需要大量的用户交互。培训用户对未经请求的浏览器弹出窗口持怀疑态度，警告感染，特别是那些提供电话号码或直接技术指示的。强调合法的苹果安全警告不会要求用户复制和粘贴命令。
2. 应用控制： 使用 macOS 的内置 Gatekeeper 并考虑补充端点安全工具，这些工具可以限制从 web 浏览器派生的进程执行 osascript 或 Script Editor，或者可以标记包含 curl | bash 模式的 do shell script 命令。
3. 网络过滤： 实施出站网络过滤或 DNS 安全，以阻止连接到已知的恶意域名和新注册域名（NRDs），这些通常在这些活动中用于有效载荷交付。
4. 最小权限原则： 确保标准用户帐户没有管理权限。最终有效载荷通常需要用户密码才能安装，提供了一个最后的机会来阻止感染。
5. 更新警惕性： 虽然这种技术绕过了特定的警告，但保持 macOS 完全更新确保所有其他分层安全保护处于活动状态。