資安廠商發現,一支竊資軟體近日冒充知名硬碟清理工具CleanMyMac藉由ClickFix手法誘騙Mac電腦使用者下載執行。
Malwarebytes研究人員發現釣魚網站cleanmycos[.]org,冒充CleanMyMac官網騙取想下載的用戶安裝竊資軟體SHub Stealer。用戶造訪時,會看到網頁展示重度用戶常見的進階安全選項。該網頁指示用戶開啟終端視窗,並貼上網頁提供的macOS指令,然後按下Return鍵。過程中使用者完全沒有下載提示頁、磁碟圖示或安全對話框。雖然使用者沒有察覺異狀,但已經下載了竊資程式。
圖片來源/Malwarebytes
研究人員指出,該指令執行後會快速執行三個步驟。第一讓終端輸出看似合法的結果,接著將一個經過混淆編碼的連結解碼出真正的目的地,最後從攻擊者控制的伺服器下載shell script,並注入zsh,立即執行。
由於SHub Stealer本身是macOS竊資軟體,一旦執行上述動作即開始下載到用戶macOS裝置。它會竊取已儲存密碼、瀏覽器資料、Apple Keychain內容、加密貨幣錢包、Telegram會話通訊。SHub Stealer甚至還會修改電子錢包App如Exodus、Atomic Wallet、Ledger Wallet、Ledger Live,讓攻擊者之後還能竊取電子錢包的回復短語(recovery phrase)。
ClickFix近年逐漸成為散布Mac竊資軟體的常見手法。此類手法並非濫用軟體漏洞,而是誘使用戶自行執行惡意程式。研究人員提醒,由於這是自願性的行為,蘋果的安全軟體如Gatekeeper、公證檢查(notarization checks)及XProtect在用戶貼上並執行Return那刻起就無法保護用戶。
2024年也發生過類似事件,Cthulhu Stealer鎖定macOS用戶,冒充CleanMyMac或是遊戲軟體Grand Theft Auto IV及Adobe GenP等合法軟體,誘騙macOS用戶下載竊取電子錢包、帳號密碼等敏感資訊。
熱門新聞
2026-03-06
2026-03-06
2026-03-09
2026-03-09
2026-03-09
