Apple 最近在 macOS Tahoe 26.4 版本中引入全新終端機警告提示,當用戶貼上潛在惡意指令時會彈出警示。此安全功能旨在阻斷 ClickFix 攻擊,這類攻擊現已成為 Mac 平台惡意軟件的主要傳播方式。不過,惡意軟件作者已迅速開發規避方法。 ClickFix 並非特定惡意軟件家族,而是依賴社會工程學的傳遞技巧。它通常誘騙用戶將惡意代碼貼入終端機並執行。
2025 年 macOS Sequoia 發佈後,此類攻擊流行起來,因為 Apple 加強了 Gatekeeper 機制,用戶無法輕易右鍵繞過未經簽署或公證的軟件,需進入「系統設定」>「私隱與安全性」審核後方可運行。這令假 DMG 安裝包受阻,但 ClickFix 因成本低、速度快且無需簽署證書而興起,仍能繞過 Gatekeeper。
Jamf 揭露新型 ClickFix 變種
Jamf Threat Labs 安全研究員在最新部落格文章中詳述一種新型 ClickFix 變種,完全避開終端機及 macOS Tahoe 26.4 的貼上警告。攻擊者偽造 Apple 主題網頁(如「在你的 Mac 釋放磁碟空間」頁面),內置「執行」按鈕。點擊後觸發 applescript:// URL 方案,引導用戶開啟 Script Editor,並預載惡意腳本。
再一鍵即可運行。 由於指令未經終端機,macOS Tahoe 26.4 的警告無法觸發。雖然 Script Editor 在儲存腳本前會顯示「未識別開發者」提示,但用戶若忽略,即可下載混淆的 curl 指令,並植入如 Atomic Stealer 等資訊竊取器或木馬。此舉凸顯 Apple 與惡意軟件作者間的持續拉鋸戰。 | 規格項目 | 細節 | |———-|——|
| macOS 版本 | Tahoe 26.4 | | 攻擊類型 | ClickFix 變種(applescript:// URL) | | 規避目標 | 終端機貼上警告、Gatekeeper | | 典型負載 | Atomic Stealer 等資訊竊取器 | | 觸發方式 | 偽造 Apple 網頁「執行」按鈕 |
