網絡安全研究人員近日發現一種新型惡意軟件攻擊活動，攻擊者利用ClickFix社會工程學手段誘騙用戶在蘋果macOS系統上下載名為Atomic macOS Stealer（AMOS）的信息竊取程序。

攻擊手法分析

據CloudSEK披露，該攻擊活動通過仿冒美國電信運營商Spectrum的域名拼寫錯誤（typosquat）網站實施攻擊。安全研究員Koushik Pal在本周發布的報告中指出："攻擊者向macOS用戶提供惡意shell腳本，該腳本不僅竊取系統密碼，還會下載AMOS變種進行后續攻擊。該腳本利用macOS原生命令獲取憑證、繞過安全機制并執行惡意二進制文件。"

研究人員根據惡意軟件源代碼中的俄語注釋判斷，這很可能是俄語系網絡犯罪團伙所為。

攻擊流程詳解

攻擊始于仿冒Spectrum的網頁（"panel-spectrum[.]net"或"spectrum-ticket[.]net"）。訪問者會收到提示信息，要求完成hCaptcha驗證以"檢查連接安全性"。當用戶點擊"我是人類"復選框后，系統會顯示"驗證失敗"錯誤信息，并誘導用戶點擊"替代驗證"按鈕。

此時攻擊命令會自動復制到用戶剪貼板，受害者會根據操作系統類型收到不同指令。Windows用戶被引導通過運行對話框執行PowerShell命令，而macOS用戶則需在終端應用中執行shell腳本。該腳本會誘使用戶輸入系統密碼，并下載第二階段載荷——已知竊密軟件Atomic Stealer。

Pal指出："投遞網站存在明顯的邏輯缺陷，例如跨平臺指令不匹配，表明攻擊基礎設施是倉促搭建的。該AMOS變種活動的投遞頁面在編程和前端邏輯上均存在錯誤。例如向Linux用戶代理復制PowerShell命令，同時向Windows和Mac用戶顯示'按住Windows鍵+R'的指令。"

ClickFix攻擊趨勢

這一發現正值ClickFix技術被廣泛用于傳播各類惡意軟件家族之際。Darktrace表示："實施此類定向攻擊的行為者通常使用相似的戰術、技術和程序（TTP）獲取初始訪問權限，包括魚叉式釣魚攻擊、路過式下載攻擊，或利用用戶對GitHub等知名平臺的信任來投遞惡意載荷。"

通過這類渠道分發的鏈接會將用戶重定向至惡意URL，顯示虛假的CAPTCHA驗證頁面。當用戶完成驗證時，實際上已被誘導執行惡意命令來"修復"根本不存在的系統問題。這種高效的社會工程學手段最終導致用戶自行破壞系統安全防護。

Darktrace分析的2025年4月某起事件中，不明威脅行為者利用ClickFix作為攻擊載體，下載隱蔽載荷深入目標環境進行橫向移動，通過HTTP POST請求將系統信息發送至外部服務器，最終實現數據外泄。

其他變種攻擊

其他ClickFix攻擊還使用偽造的Google reCAPTCHA和Cloudflare Turnstile等流行驗證服務，以常規安全檢查為幌子投遞惡意軟件。這些偽造頁面是合法網站的"像素級復制品"，有時甚至被注入到被入侵的真實網站中。通過虛假Turnstile頁面分發的惡意載荷包括Lumma、StealC等竊密軟件，以及NetSupport RAT等完整的遠程訪問木馬（RAT）。

SlashNext的Daniel Kelley表示："現代互聯網用戶飽受垃圾檢查、驗證碼和安全提示的困擾，已形成快速點擊通過的習慣。攻擊者利用這種'驗證疲勞'心理，知道只要流程看起來常規，多數用戶就會按步驟執行。"