攻击者利用 ClickFix 诱骗苹果用户下载 AMOS 窃密软件

网络安全研究人员近日发现一种新型恶意软件攻击活动，攻击果用攻击者利用ClickFix社会工程学手段诱骗用户在苹果macOS系统上下载名为Atomic macOS Stealer（AMOS）的利载信息窃取程序 。

攻击手法分析

据CloudSEK披露
，用Cx诱该攻击活动通过仿冒美国电信运营商Spectrum的骗苹域名拼写错误（typosquat）网站实施攻击。安全研究员Koushik Pal在本周发布的户下报告中指出 ："攻击者向macOS用户提供恶意shell脚本 ，该脚本不仅窃取系统密码 ，密软还会下载AMOS变种进行后续攻击。攻击果用该脚本利用macOS原生命令获取凭证 、利载绕过安全机制并执行恶意二进制文件。用Cx诱"

研究人员根据恶意软件源代码中的骗苹俄语注释判断
，这很可能是源码库户下俄语系网络犯罪团伙所为 。

攻击流程详解

攻击始于仿冒Spectrum的密软网页（"panel-spectrum[.]net"或"spectrum-ticket[.]net"）。访问者会收到提示信息 ，攻击果用要求完成hCaptcha验证以"检查连接安全性" 。利载当用户点击"我是用Cx诱人类"复选框后
，系统会显示"验证失败"错误信息，并诱导用户点击"替代验证"按钮。

此时攻击命令会自动复制到用户剪贴板 ，受害者会根据操作系统类型收到不同指令
。Windows用户被引导通过运行对话框执行PowerShell命令，而macOS用户则需在终端应用中执行shell脚本
。该脚本会诱使用户输入系统密码
，服务器租用并下载第二阶段载荷——已知窃密软件Atomic Stealer。

Pal指出："投递网站存在明显的逻辑缺陷，例如跨平台指令不匹配，表明攻击基础设施是仓促搭建的。该AMOS变种活动的投递页面在编程和前端逻辑上均存在错误。例如向Linux用户代理复制PowerShell命令，同时向Windows和Mac用户显示按住Windows键+R的指令。"

ClickFix攻击趋势

这一发现正值ClickFix技术被广泛用于传播各类恶意软件家族之际。Darktrace表示："实施此类定向攻击的亿华云行为者通常使用相似的战术、技术和程序（TTP）获取初始访问权限 ，包括鱼叉式钓鱼攻击、路过式下载攻击，或利用用户对GitHub等知名平台的信任来投递恶意载荷 。"

通过这类渠道分发的链接会将用户重定向至恶意URL
，显示虚假的CAPTCHA验证页面。当用户完成验证时 ，实际上已被诱导执行恶意命令来"修复"根本不存在的系统问题。模板下载这种高效的社会工程学手段最终导致用户自行破坏系统安全防护 。

Darktrace分析的2025年4月某起事件中，不明威胁行为者利用ClickFix作为攻击载体
，下载隐蔽载荷深入目标环境进行横向移动 ，通过HTTP POST请求将系统信息发送至外部服务器
，最终实现数据外泄。

其他变种攻击

其他ClickFix攻击还使用伪造的Google reCAPTCHA和Cloudflare Turnstile等流行验证服务
 ，以常规安全检查为幌子投递恶意软件 。这些伪造页面是合法网站的"像素级复制品" ，免费模板有时甚至被注入到被入侵的真实网站中 。通过虚假Turnstile页面分发的恶意载荷包括Lumma、StealC等窃密软件，以及NetSupport RAT等完整的远程访问木马（RAT）。

SlashNext的Daniel Kelley表示 ："现代互联网用户饱受垃圾检查
、验证码和安全提示的困扰
，已形成快速点击通过的习惯 。攻击者利用这种验证疲劳心理，香港云服务器知道只要流程看起来常规，多数用户就会按步骤执行 。"