新型 macOS 窃取攻击活动滥用 ClickFix 中的脚本编辑器

什么是 ClickFix?为什么要转向脚本编辑器?

ClickFix 是一种有据可查的社会工程攻击技术,它诱骗用户运行恶

安全研究人员发现了一种针对 macOS 的新型信息窃取活动,该活动利用改进的ClickFix攻击链,滥用内置的脚本编辑器应用程序绕过苹果最新的安全防护措施,并隐蔽地部署Atomic Stealer恶意软件。此次活动标志着针对 Mac 用户的社会工程攻击策略发生了重大演变,攻击者不再依赖终端执行命令,而是利用受信任的系统实用程序来部署非法代码。

什么是 ClickFix?为什么要转向脚本编辑器?

ClickFix 是一种有据可查的社会工程攻击技术,它诱骗用户运行恶意命令以入侵其设备。传统上,这类攻击依赖于诱使受害者将混淆的 shell 命令直接复制粘贴到终端中,但苹果在最近的 macOS 更新中增强了粘贴阻止和命令扫描机制,使得这种方法越来越难以奏效。

攻击者已调整策略,将攻击执行从终端转移到脚本编辑器。脚本编辑器是 macOS 的默认实用程序,用于创建和运行 AppleScript 和 JavaScript for Automation (JXA) 工作流。作为预装的、经过 Apple 签名的应用程序,脚本编辑器享有很高的系统信任度,并且通常能够躲过普通用户的检查,这使其成为逃避检测和执行未经授权代码的理想途径。

全力攻击链

该攻击活动由Jamf Threat Labs发现并记录,其遵循一套精简且极具欺骗性的工作流程,旨在最大限度地减少用户操作步骤并最大限度地提高感染成功率:

  1. 恶意登录页面会将用户引导至模仿官方 Apple 支持或系统维护门户的伪造网页,声称只需单击一下即可解决“磁盘空间不足”、“性能问题”或“缓存错误”。
  2. 协议触发:点击所谓的“修复”或“清理”按钮不会导航到标准网页,而是调用applescript:// URL 协议,提示浏览器打开脚本编辑器。
  3. 用户审批陷阱:系统会弹出一个标准对话框,请求启动脚本编辑器的权限。大多数用户都会授予权限,并将此操作与例行系统维护联系起来。
  4. 预加载恶意脚本编辑器打开后会显示一个预先填充的、经过高度混淆的 AppleScript 有效载荷。受害者会被指示点击“运行”按钮来完成“修复”过程。
  5. 有效载荷部署:恶意脚本解码嵌入的 URL,并执行curl | zsh命令将第二阶段的有效载荷直接加载到内存中,从而避免基于磁盘的检测:
  • 解密隐藏的命令与控制 URL 以绕过静态签名检查
  • 将Atomic Stealer Mach-O 二进制文件下载到临时目录
  • 移除隔离属性并授予执行权限
  • 在后台静默启动窃取程序,没有任何可见的提示。

“原子窃取器”的目标是哪些数据?

Atomic Stealer(也称为AMOS)是一款功能强大且成熟的信息窃取工具,专为 macOS 设计。在本活动中,它被编程用于窃取以下数据:

  • 来自钥匙串的密码、安全笔记和证书
  • 浏览器凭据、Cookie、自动填充数据和已保存的支付卡
  • 桌面文件、文档和系统配置文件信息
  • 常用加密货币钱包的恢复短语和私钥
  • 某些变种包含用于持久远程访问的后门功能。

与传统 ClickFix 攻击相比的主要优势

这一更新后的策略为攻击者带来了三项关键改进:

  1. 绕过终端保护:避免 Apple 对终端中粘贴的命令进行增强扫描,从而抵消了针对旧版 ClickFix 攻击的主要防御措施。
  2. 简化用户交互:消除复制粘贴步骤;感染只需点击两次:允许运行
  3. 增强隐蔽性:使用原生的、经过签名的 Apple 实用程序,融入合法的系统行为,降低安全工具发出警报的可能性。

如何保护您的 macOS 设备

  • 拒绝意外的脚本编辑器或终端请求:除非您明确发起该操作,否则拒绝打开脚本编辑器或终端的提示。
  • 避免使用非官方的“清理”或“优化”页面:系统维护仅信任 macOS 内置工具和 Apple 官方支持内容。
  • 加强安全和隐私设置:进入系统设置 > 隐私和安全,将脚本执行限制为受信任的应用程序。
  • 保持 macOS 更新:安装最新的系统补丁,以享受 Apple 不断改进的反 ClickFix 保护措施。
  • 部署端点安全:使用信誉良好的安全软件监控异常的脚本编辑器活动、curl 生成和未经授权的持久化机制。

结论

此次攻击活动凸显了针对 macOS 的恶意软件的快速演变,其攻击手段已从漏洞利用转向社会工程学和滥用受信任的系统工具。攻击者持续利用用户对苹果默认实用程序的熟悉程度,绕过安全控制并窃取敏感数据。

尽管技术防御措施不断改进,但用户意识仍然是最有效的防线。Mac 用户应高度警惕任何要求从网页运行脚本或命令的提示,无论提示信息看起来多么官方或紧急。


Smart Slider 更新过程被劫持,用于传播恶意 WordPress 和 Joomla 版本

一项针对WordPress和Joomla热门插件Smart Slider用户的重大供应链攻击已被曝光。网络安全研究人员发现,该插件的官方更新机制已被攻破,攻击者将植入木马的版本推送给毫不知情的用户,这可能使攻击者获得访问数千个网站的后门。

妥协:伪装的特洛伊木马

攻击始于攻击者渗透到 Smart Slider 的开发环境或更新服务器。受感染的系统没有提供合法、安全的更新(本例中为 3.5.1.12 版本),而是分发了恶意副本。

这个虚假更新看起来完全一样,版本号和数字签名都正确无误,最终用户几乎无法察觉。然而,其代码中却隐藏着一个复杂的后门。

后门:攻击者完全控制

嵌入在伪造的 Smart Slider 更新中的恶意代码会在受害者的网站上创建一个持久性后门。该后门赋予攻击者多种危险功能,包括:

  • 远程代码执行 (RCE):能够在服务器上运行任何 PHP 代码,从而有效地赋予攻击者完全控制权。
  • 文件操作:上传、下载或修改网络服务器上的任何文件。
  • 数据库访问:读取和写入网站数据库,这可能会泄露用户凭据、个人数据和财务信息。
  • 用户帐户创建:能够创建新的管理用户帐户,即使后门被发现并移除,也能确保继续访问。

威胁的规模

Smart Slider 是 WordPress 和 Joomla 最受欢迎的幻灯片插件之一,拥有超过一百万的活跃安装量。虽然目前尚不清楚有多少用户在恶意更新被发现前安装了该更新,但其潜在影响巨大。

一位安全研究人员说:“想象一下,如果这数百万个网站中的每一个都隐藏着只有攻击者才知道的入口,那会是什么情况?他们可以随时篡改网站、窃取敏感数据或注入其他恶意软件。”

发现与应对

此次攻击最初是由监控插件异常行为的自动化安全系统检测到的。一旦发现攻击,Smart Slider 的开发者立即接到通知,并立即采取措施重新控制其更新服务器,发布了已修复的安全版本(3.5.1.13)。

安全公司也发布了安全公告,并更新了恶意软件特征码,以检测和清除后门程序。网站管理员被敦促立即更新插件,并扫描网站以查找任何入侵迹象。

如何保护您的网站

此次攻击事件发生后,网络安全专家提醒网站所有者保持警惕的重要性:

  1. 立即更新:一旦有安全更新可用,请务必立即应用 CMS、插件和主题的更新。
  2. 使用 Web 应用程序防火墙 (WAF):WAF 可以帮助阻止已知的攻击模式和恶意请求。
  3. 监控变更:定期检查网站文件和数据库,查看是否有未经授权的更改。
  4. 使用强密码:确保所有用户帐户,尤其是管理员帐户,都使用强密码和唯一密码。
  5. 定期备份:定期对整个网站进行异地备份,以便在遭受攻击时能够快速恢复。

此次事件再次警醒我们,供应链攻击的风险不容忽视。即使是广泛使用且值得信赖的插件也可能遭到入侵,因此网站所有者必须采取多层安全策略。

Post Views: 14