【安全资讯】针对macOS用户的ClickFix攻击活动分发AppleScript窃密程序

概要：

网络安全研究人员近期发现一场针对macOS用户的ClickFix攻击活动，该活动通过社交工程手段分发一种基于AppleScript的信息窃取程序。该恶意软件专门窃取金融等行业用户的敏感数据，包括浏览器凭证、加密货币钱包信息及大量扩展程序数据，凸显了社交工程攻击对桌面用户的持续威胁。

主要内容：

Netskope威胁实验室的研究人员发现，这场名为ClickFix的攻击活动利用虚假的计算机问题修复或验证码提示，诱骗用户执行恶意命令。攻击者通过客户端JavaScript筛选受害者，仅针对桌面用户，并根据用户代理信息分发针对Windows或macOS的特定载荷。

当检测到macOS环境时，恶意软件会将用户引导至一个虚假的验证码页面，并提示用户在Mac的Spotlight搜索中粘贴“验证码”。该代码实为一条curl命令，执行后会从攻击者控制的服务器静默下载恶意脚本。该脚本会收集用户名，硬编码C2服务器地址，并在/tmp/xdivcmp/创建临时目录暂存窃取的数据。

窃密程序的核心攻击手段是一个高度仿真的社交工程对话框，它加载了本地的macOS系统锁图标以伪装成合法系统提示，诱使用户输入系统密码。该对话框无法关闭，会循环出现直至输入正确密码，并通过macOS目录服务进行实时验证。随后，恶意软件会窃取macOS钥匙串、12款基于Chromium的浏览器及Firefox的会话令牌、密码、自动填充信息（含信用卡号）以及超过200个扩展的数据，其中特别针对MetaMask、Coinbase Wallet等加密货币钱包扩展和LastPass、1Password等密码管理器。

此外，该窃密程序还针对Exodus、Ledger Live等16款独立的桌面加密货币钱包应用。尽管攻击技术与微软上周归因于朝鲜黑客的活动类似，但研究人员认为此次是独立活动。苹果在最新的macOS版本中已加入新功能，可在用户向终端粘贴可疑命令时发出警告，但旧系统用户仍面临风险。Netskope已在GitHub发布了相关的入侵指标和脚本。