攻击者利用ClickFix诱骗苹果用户下载AMOS窃密软件

网络安全研究人员近日发现一种新型恶意软件攻击活动，攻击者利用ClickFix社会工程学手段诱骗用户在苹果macOS系统上下载名为Atomic macOS Stealer（AMOS）的信息窃取程序。

Part01

攻击手法分析

据CloudSEK披露，该攻击活动通过仿冒美国电信运营商Spectrum的域名拼写错误（typosquat）网站实施攻击。安全研究员Koushik Pal在本周发布的报告中指出："攻击者向macOS用户提供恶意shell脚本，该脚本不仅窃取系统密码，还会下载AMOS变种进行后续攻击。该脚本利用macOS原生命令获取凭证、绕过安全机制并执行恶意二进制文件。"

研究人员根据恶意软件源代码中的俄语注释判断，这很可能是俄语系网络犯罪团伙所为。

Part02

攻击流程详解

攻击始于仿冒Spectrum的网页（"panel-spectrum[.]net"或"spectrum-ticket[.]net"）。访问者会收到提示信息，要求完成hCaptcha验证以"检查连接安全性"。当用户点击"我是人类"复选框后，系统会显示"验证失败"错误信息，并诱导用户点击"替代验证"按钮。

此时攻击命令会自动复制到用户剪贴板，受害者会根据操作系统类型收到不同指令。Windows用户被引导通过运行对话框执行PowerShell命令，而macOS用户则需在终端应用中执行shell脚本。该脚本会诱使用户输入系统密码，并下载第二阶段载荷——已知窃密软件Atomic Stealer。

Pal指出："投递网站存在明显的逻辑缺陷，例如跨平台指令不匹配，表明攻击基础设施是仓促搭建的。该AMOS变种活动的投递页面在编程和前端逻辑上均存在错误。例如向Linux用户代理复制PowerShell命令，同时向Windows和Mac用户显示'按住Windows键+R'的指令。"

Part03

ClickFix攻击趋势

这一发现正值ClickFix技术被广泛用于传播各类恶意软件家族之际。Darktrace表示："实施此类定向攻击的行为者通常使用相似的战术、技术和程序（TTP）获取初始访问权限，包括鱼叉式钓鱼攻击、路过式下载攻击，或利用用户对GitHub等知名平台的信任来投递恶意载荷。"

通过这类渠道分发的链接会将用户重定向至恶意URL，显示虚假的CAPTCHA验证页面。当用户完成验证时，实际上已被诱导执行恶意命令来"修复"根本不存在的系统问题。这种高效的社会工程学手段最终导致用户自行破坏系统安全防护。

Darktrace分析的2025年4月某起事件中，不明威胁行为者利用ClickFix作为攻击载体，下载隐蔽载荷深入目标环境进行横向移动，通过HTTP POST请求将系统信息发送至外部服务器，最终实现数据外泄。

Part04

其他变种攻击

其他ClickFix攻击还使用伪造的Google reCAPTCHA和Cloudflare Turnstile等流行验证服务，以常规安全检查为幌子投递恶意软件。这些伪造页面是合法网站的"像素级复制品"，有时甚至被注入到被入侵的真实网站中。通过虚假Turnstile页面分发的恶意载荷包括Lumma、StealC等窃密软件，以及NetSupport RAT等完整的远程访问木马（RAT）。

SlashNext的Daniel Kelley表示："现代互联网用户饱受垃圾检查、验证码和安全提示的困扰，已形成快速点击通过的习惯。攻击者利用这种'验证疲劳'心理，知道只要流程看起来常规，多数用户就会按步骤执行。"

电台讨论

原文始发于微信公众号（FreeBuf）：攻击者利用ClickFix诱骗苹果用户下载AMOS窃密软件