详细内容或原文请订阅后点击阅览
ClickFix 找到了感染 Mac 的新方法
ClickFix 活动找到了一种方法来绕过 macOS Tahoe 针对在终端中粘贴命令的警告。他们正在使用脚本编辑器。
来源:Malwarebytes Labs 博客ClickFix 活动正在寻找替代方案,因为许多 Mac 用户已经意识到将某些命令粘贴到终端中的危险。
研究人员发现,ClickFix 保留了相同的社会工程剧本,但通过使用 applescript://URL 方案来自动打开脚本编辑器,并使用可拉取 Atomic Stealer 的可立即运行的脚本,完全避开了终端。
ClickFix 是一种社会工程方法,可诱骗用户用恶意软件感染自己的设备。用户被指示运行下载恶意软件(通常是信息窃取者)的特定命令。
攻击者将“复制、粘贴到终端”替换为“只需单击此按钮并运行 Apple 为您准备的脚本”。
诱惑是一直流行的“回收 Mac 上的磁盘空间”。使用旧方法的搜索结果之一如下所示:
在终端中运行模糊的curl 命令始终是一个坏主意。但接下来的事情同样危险,我预计用户将更有可能跟随潮流。
新方法看起来更像是这样:
主要区别在于启动执行的方式:该网站不要求您粘贴可怕的命令,而是提供一键式“Apple 脚本”,声称可以清理您的 Mac,甚至显示一个假的“释放 24.7 GB”对话框。
在后台,applescript://deep 链接会打开脚本编辑器,其中包含预先填充的“维护”脚本。但该脚本的真正工作是执行 shell 脚本“curl -kSsfL | zsh”。 这有效地拉出第二阶段脚本,该脚本解码另一个脚本,最终下载助手(Atomic Stealer 变体)并运行它。
Atomic Stealer,也称为 AMOS,是 macOS 上流行的信息窃取程序。但 Atomic Stealer 只是当前的有效负载。明天可能是 MacSync、Infiniti 或其他新产品。
最终它仍然是一种自残感染,因为用户是通过单击对话框并运行脚本来授予所有权限的。