ClickFix 假驗證攻擊擴到 Mac,見到陌生指令就要停手
Tech News

ClickFix 假驗證攻擊擴到 Mac,見到陌生指令就要停手

圖片:via iThome — https://www.ithome.com.tw/news/177165
TechLab 編輯部(譯)·

假 CAPTCHA、瀏覽器當機同修復教學,都可以變成入口

發生咩事

iThome 報道,ReliaQuest 喺 6 月 30 日整理 2026 年 3 月 1 日至 5 月 31 日嘅攻擊觀察,ClickFix 已經由「新招」變成主流惡意軟件投遞手法。佢喺初始入侵分類入面,以 spearphishing link 佔 14.9%;同指令混淆、隱藏腳本用途相關嘅防偵測活動,合計接近 28%。簡單講,攻擊者唔一定要你下載附件,佢哋要你自己幫手打開系統工具。

ReliaQuest 威脅趨勢報告嘅主圖,顯示 2026 年 3 至 5 月攻擊手法整理

圖片:ReliaQuest

ClickFix 其實點玩

呢類頁面通常扮做人機驗證、瀏覽器當機,或者一篇好似幫你修復系統問題嘅教學。Windows 版最典型係叫你按 Win+R,再貼入攻擊頁早就放好嘅內容;Mac 版就改叫人開 Terminal,甚至用 applescript:// 喚起 Script Editor。正常 CAPTCHA 唔會叫你離開瀏覽器開系統工具;見到呢步,基本上就應該關頁。

Mac 呢次唔好解讀成「突然失守」

要講清楚,呢件事唔代表 macOS 已經大規模淪陷。ReliaQuest 嘅重點係投遞手法擴到 macOS,Microsoft 同 Jamf 見到嘅案例,主要係假清理儲存空間、假工具教學、假 Apple 風格頁面,引導用戶親手跑腳本。攻擊者睇中嘅位好實際:Terminal 跑腳本,同你喺 Finder 開一個 app 唔同,某啲 app 簽署同 notarization 檢查未必喺同一層發揮作用。

點解公司會中招

唔少香港公司係前線客服、行政用 Windows,設計、剪片、開發同管理層用 Mac,BYOD 又唔少。ClickFix 麻煩位係一封電郵或一個廣告連結,可以按 OS 送出唔同教學,表面仲似「跟步驟解決問題」。中招後偷走嘅唔一定係單一檔案,而係 browser 密碼、session cookie、Keychain、雲端登入同錢包資料;攻擊者攞到 token,之後就可以用合法帳號入雲端工具。

見到咩就要停手

個人層面好簡單:任何網頁、chat 客服、PDF 或「修復教學」叫你開 Win+R、Terminal、Script Editor、PowerShell,再貼入一段你睇唔明嘅指令,都當佢係紅燈。就算頁面話你嘅瀏覽器當機、驗證未完成、檔案鎖住,都唔好照做。真係公司 IT 要你跑指令,應該經 ticket、MDM 或 remote support 工具交代清楚,唔會靠陌生網頁叫你自己貼。

防守工具有用,但唔好靠晒佢

防守端開始補位。Microsoft 指 Apple XProtect 已加簽名,macOS 26.4 或之後版本喺用戶貼可疑 Terminal 指令時會彈警告;Opera 7 月 2 日亦推出 Paste Protect,想喺 clipboard 階段擋住可疑內容。問題係 Jamf 見到 Script Editor 玩法,正好提醒大家:攻擊者會避開最當眼嘅閘口,公司 IT 要監察「瀏覽器叫起系統工具」呢類行為;淨係追某隻 malware 名會慢半拍。

最實際嘅判斷

今次記住兩樣嘢就夠:驗證應該喺瀏覽器入面完成,修復教學唔應該叫你複製陌生指令去系統工具。客服、行政、創作人、開發者同管理層,只要工作機登入咗公司郵箱、雲端硬碟、CRM 或設計工具,都有價值。見到要貼指令先過關,停低問 IT,成本低過事後清 session、改密碼同查外洩。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook