随着假期出行高峰临近,酒店预订平台迎来订单量大幅增长,网络安全领域却悄然浮现新型威胁。一种名为ClickFix的木马程序正在互联网扩散,其通过伪造人机验证页面实施社会工程学攻击,可绕过苹果macOS系统安全机制,窃取用户敏感信息。
该木马的核心攻击手法是构建高度仿真的验证页面。黑客将Cloudflare、reCAPTCHA等常见验证系统嵌入钓鱼网站,这些页面在视觉上与正版验证界面完全一致。当用户尝试通过验证时,系统会诱导其将特定字符串粘贴至终端命令行界面。普通用户往往因对熟悉界面产生信任,而忽视终端操作可能带来的安全风险。
技术分析显示,恶意指令执行后将触发多阶段攻击流程。木马首先通过远程脚本静默下载Mach-O格式的恶意载荷,随后部署名为Shamos的凭证窃取模块。该模块不仅能提取存储的密码和加密货币钱包信息,还会将受感染设备纳入僵尸网络,同时修改系统偏好设置实现持久化驻留。整个植入过程完全绕过macOS的Gatekeeper应用完整性检测机制,不会触发任何安全警告或权限请求弹窗。
攻击者针对不同操作系统开发了自适应版本。新型变种具备操作系统检测能力,可根据用户设备类型自动投放Windows二进制文件或macOS专用载荷。这种精准投放策略显著提升了攻击成功率,一旦设备被入侵,存储的各类认证凭证、企业环境令牌等敏感数据都将面临泄露风险。
