2026-04-13 05:07:24 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： ClickFix攻击活动近期通过脚本编辑器投放AtomicStealer窃取程序攻击macOS用户，利用AppleScriptURL方案绕过终端防护。攻击者伪装成磁盘清理工具诱导用户运行混淆脚本，通过内存执行下载恶意二进制文件窃取敏感数据。建议用户警惕非常规系统维护请求并验证工具来源。 综合评分： 85 文章分类： 恶意软件,威胁情报,漏洞分析,安全意识,渗透测试

cover_image

ClickFix 新广告系列利用 macOS 脚本编辑器投放原子窃取器

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年4月10日 12:25 北京

最近发现的 ClickFix 攻击活动正通过一种完全绕过终端的技术，利用脚本编辑器将 Atomic Stealer 信息窃取程序投放到受感染的系统中，从而攻击 macOS 用户。

此次攻击活动标志着攻击者应对苹果公司日益严格的安全控制措施的方式发生了明显转变——这鲜明地提醒我们，社会工程攻击几乎可以绕过任何技术障碍。

ClickFix 攻击传统上依赖于诱骗用户将恶意命令复制并粘贴到终端中，通常是在例行故障排除或系统维护步骤的掩护下进行的。

苹果在 macOS 26.4 中直接解决了这个问题，引入了一项安全功能，该功能会在命令粘贴到终端中执行之前对其进行扫描，从而为这种常见的攻击路径增加了有意义的阻力。

攻击者并没有放弃这种策略，而是简单地转移了执行点——将终端替换为脚本编辑器，这是一个内置的 macOS 应用程序，支持 AppleScript 自动化，并且有充分记录的恶意软件滥用历史。

Jamf Threat Labs 的研究人员通过其行为检测机制之一发现了这种新变种，该机制将基于脚本编辑器的执行标记为在实际环境中的可疑活动。

这一发现再次印证了威胁行为者在遇到新的控制措施时会迅速做出调整。在本案例中，攻击者利用 AppleScript URL 方案直接从 Web 浏览器调用脚本编辑器，悄无声息地绕过了终端的新防护措施，且未触发任何明显的警报。

攻击始于一个伪造的苹果主题网页，该网页伪装成磁盘空间清理工具，并提供与合法 macOS 维护指南非常相似的分步说明。

当用户点击“执行”按钮时，页面会在浏览器中静默触发 AppleScript URL 方案。随后，浏览器会弹出一个安全权限对话框，询问是否打开脚本编辑器，整个过程看起来就像一项例行的系统任务，而不是一个潜在的威胁。

根据 macOS 版本的不同，体验也会有所不同，macOS 26.4 要求用户在执行脚本之前批准将其保存到磁盘。

脚本执行和有效载荷交付

用户运行预先填充的脚本后，实际的攻击链就会启动。脚本中嵌入的命令通过该实用程序使用字符转换方法进行混淆 tr ，该实用程序会在运行时将乱码字符串转换为有效的 URL。

该URL调用 curl 带有特定 -k 标志，禁用TLS证书验证，从而允许恶意软件访问不受信任的基础设施而不会触发警告。下载的内容直接导入 zsh 内存并完全在内存中执行，在此初始阶段不会访问磁盘。

第一阶段有效载荷使用 base64 编码结合 gzip 压缩来隐藏其真实内容。解码后，它会获取一个 Mach-O 二进制文件，将其保存到指定位置 /tmp/helper，去除扩展属性，赋予执行权限，然后运行该文件。

该二进制文件是 Atomic Stealer 的最新变种——一种著名的macOS 信息窃取程序，它会从受感染的计算机中窃取浏览器凭据、保存的密码、加密货币钱包和其他敏感数据。

已确认的入侵指标包括域名 dryvecar.com，以及 storage-fixes.squarespace.com 和 cleanupmac.mssg.me，这两个域名都与本次活动中使用的虚假 ClickFix 网页有关。

保存为 Mach-O 二进制文件的程序 helper 携带 SHA-256 哈希值 3d3c91ee762668c85b74859e4d09a2adfd34841694493b82659fda77fe0c2c44。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿网络安全9527 网络安全9527《ClickFix 新广告系列利用 macOS 脚本编辑器投放原子窃取器》