ClickFix Mac 恶意软件活动使用虚假苹果页面投放有效载荷

执行摘要

Jamf 的安全研究人员发现了一种新的社会工程攻击活动，该活动利用 ClickFix 风格的攻击 向 macOS 用户投放恶意软件。该攻击手段通过一个模仿苹果品牌设计的欺骗性网页，诱骗受害者执行恶意 Shell 命令，声称是为了回收磁盘空间。

技术分析

该恶意网站伪装成苹果官方支持资源页面，指示用户打开 Script Editor（脚本编辑器） 并粘贴一系列编码命令。这些命令一旦被执行，就会在受害者的系统上下载并安装恶意软件。根据 Jamf 的分析，初始命令序列中嵌入了经过 base64 编码的数据，脚本会从中解码出隐藏的有效载荷。这种方法避免了可能触发传统杀毒机制的直接文件下载行为。

Jamf 指出，最终有效载荷的行为仍在调查中，但已表现出典型的后渗透框架持久化机制。例如创建启动代理（launch agents）或隐藏目录等特定工件，以确保系统重启后仍能维持访问权限。

入侵指标

目前尚未识别任何入侵指标。

战术、技术与程序

本次活动中使用的主要战术是 社会工程学，特别是利用用户对苹果品牌界面的信任。关键技术包括：

• 欺骗性网页内容： 构建高度仿真的苹果用户界面，诱导用户执行他们认为安全的操作。
• 利用系统自带工具（Living-off-the-Land Binaries，LOLBins）： 使用如 /bin/bash、base64 和 curl 等 macOS 内置工具来解码和执行有效载荷，从而降低被怀疑的风险。
• 用户执行（T1204）： 攻击依赖于终端用户手动运行脚本，而非利用软件漏洞。

威胁行为者背景

目前尚无明确归因到具体威胁行为者。然而，由于攻击手法简单且目标广泛，推测可能是由追求经济利益的团体或使用公开钓鱼模板的初级黑客（script kiddies）所为。在获得更多取证证据之前，相关归因仍属推测性质。

缓解措施与建议

组织应采用多层防护策略以减轻 ClickFix 类型攻击带来的风险：

• 加强用户意识培训： 教育员工不要将不受信任的代码复制粘贴至终端应用程序或脚本环境中。
• 应用白名单控制： 除非必要，否则限制 Script Editor 等脚本工具的执行权限。
• 端点监控： 部署具备行为分析能力的安全解决方案，用于检测本地操作系统二进制文件在“就地取材”场景中的异常调用情况。
• 浏览器保护机制： 利用 DNS 过滤及 URL 声誉服务阻止访问已知恶意域名。

管理员还可考虑通过扩展属性或 Gatekeeper 设置禁用下载文件的自动执行权限。