
ClickFix 假驗證攻擊擴到 Mac,見到陌生指令就要停手
假 CAPTCHA、瀏覽器當機同修復教學,都可以變成入口
發生咩事
iThome 報道,ReliaQuest 喺 6 月 30 日整理 2026 年 3 月 1 日至 5 月 31 日嘅攻擊觀察,ClickFix 已經由「新招」變成主流惡意軟件投遞手法。佢喺初始入侵分類入面,以 spearphishing link 佔 14.9%;同指令混淆、隱藏腳本用途相關嘅防偵測活動,合計接近 28%。簡單講,攻擊者唔一定要你下載附件,佢哋要你自己幫手打開系統工具。

圖片:ReliaQuest
ClickFix 其實點玩
呢類頁面通常扮做人機驗證、瀏覽器當機,或者一篇好似幫你修復系統問題嘅教學。Windows 版最典型係叫你按 Win+R,再貼入攻擊頁早就放好嘅內容;Mac 版就改叫人開 Terminal,甚至用 applescript:// 喚起 Script Editor。正常 CAPTCHA 唔會叫你離開瀏覽器開系統工具;見到呢步,基本上就應該關頁。
Mac 呢次唔好解讀成「突然失守」
要講清楚,呢件事唔代表 macOS 已經大規模淪陷。ReliaQuest 嘅重點係投遞手法擴到 macOS,Microsoft 同 Jamf 見到嘅案例,主要係假清理儲存空間、假工具教學、假 Apple 風格頁面,引導用戶親手跑腳本。攻擊者睇中嘅位好實際:Terminal 跑腳本,同你喺 Finder 開一個 app 唔同,某啲 app 簽署同 notarization 檢查未必喺同一層發揮作用。
點解公司會中招
唔少香港公司係前線客服、行政用 Windows,設計、剪片、開發同管理層用 Mac,BYOD 又唔少。ClickFix 麻煩位係一封電郵或一個廣告連結,可以按 OS 送出唔同教學,表面仲似「跟步驟解決問題」。中招後偷走嘅唔一定係單一檔案,而係 browser 密碼、session cookie、Keychain、雲端登入同錢包資料;攻擊者攞到 token,之後就可以用合法帳號入雲端工具。
見到咩就要停手
個人層面好簡單:任何網頁、chat 客服、PDF 或「修復教學」叫你開 Win+R、Terminal、Script Editor、PowerShell,再貼入一段你睇唔明嘅指令,都當佢係紅燈。就算頁面話你嘅瀏覽器當機、驗證未完成、檔案鎖住,都唔好照做。真係公司 IT 要你跑指令,應該經 ticket、MDM 或 remote support 工具交代清楚,唔會靠陌生網頁叫你自己貼。
防守工具有用,但唔好靠晒佢
防守端開始補位。Microsoft 指 Apple XProtect 已加簽名,macOS 26.4 或之後版本喺用戶貼可疑 Terminal 指令時會彈警告;Opera 7 月 2 日亦推出 Paste Protect,想喺 clipboard 階段擋住可疑內容。問題係 Jamf 見到 Script Editor 玩法,正好提醒大家:攻擊者會避開最當眼嘅閘口,公司 IT 要監察「瀏覽器叫起系統工具」呢類行為;淨係追某隻 malware 名會慢半拍。
最實際嘅判斷
今次記住兩樣嘢就夠:驗證應該喺瀏覽器入面完成,修復教學唔應該叫你複製陌生指令去系統工具。客服、行政、創作人、開發者同管理層,只要工作機登入咗公司郵箱、雲端硬碟、CRM 或設計工具,都有價值。見到要貼指令先過關,停低問 IT,成本低過事後清 session、改密碼同查外洩。
參考來源
- iThome — ClickFix成2026年3月至5月主要惡意程式投遞手法,首度擴及macOS平臺 — original report
- ReliaQuest:What's Trending: Top Cyber Attacker Techniques, March - May 2026 — 原始報告,提供統計比例、macOS 擴展同防守建議。
- Microsoft Security Blog:ClickFix campaign uses fake macOS utilities lures to deliver infostealers — 原始研究,拆解 macOS ClickFix 假工具教學、Terminal 投遞同資料竊取流程。
- Jamf Threat Labs:ClickFix technique uses Script Editor instead of Terminal on macOS — 原始研究,補充 Script Editor/applescript:// 玩法同 AMOS 案例。
- HKCERT:Phishing Alert – ClickFix Tactics Evolve, Now Attacking Both Windows and macOS — 香港資安公告,整理 Windows 同 macOS 版 ClickFix 風險。
- Opera:Opera protects you from Clipboard attacks — 官方產品 blog,交代 Paste Protect 點樣喺 clipboard 階段攔截可疑內容。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







