Apple 近期在 macOS 中推出了一項新的安全功能,旨在警示用戶在「終端機」貼上潛在惡意指令,特別是為了防範 ClickFix 攻擊。然而,惡意軟體開發者已迅速找到方法來繞過這項保護。
重點文章
ClickFix 攻擊手法在 macOS 更新後更為盛行
ClickFix 本身並非惡意軟體家族,而是一種透過社交工程手法,誘騙用戶貼上並執行惡意程式碼的傳播技術。在 2025 年,Apple 透過 macOS 的更新強化了 Gatekeeper 安全機制,限制用戶右鍵繞過並開啟未經簽署或公證的應用程式,導致傳統的假造 DMG 安裝程式受到嚴重打擊。此後,ClickFix 便開始盛行,因為它成本低廉、傳播迅速,且無需取得簽署憑證即可繞過 Gatekeeper。
透過 Script Editor 繞過終端機警告
資安研究人員詳細說明了一種新的 ClickFix 變體,它徹底繞過了 Apple 新的「終端機」保護措施。這種方法利用了偽造的 Apple 主題網頁,這些網頁會提示用戶點擊「執行」按鈕。此操作會觸發 applescript:// URL scheme,自動開啟「Script Editor」並載入預先填入的惡意程式碼。用戶隨後再次點擊,便會執行該腳本。
Apple 與惡意軟體開發者持續攻防
由於惡意指令從未進入「終端機」,Apple 新的貼上警告因此未被觸發。儘管「Script Editor」在儲存腳本前會發出「不明開發者」的警告,但如果用戶忽略此警告並繼續,該腳本便會執行。此後,它會下載經過混淆的指令,最終將資訊竊取惡意軟體安裝到 Mac 電腦上。這個情況突顯了 Apple 與惡意軟體開發者之間持續且不斷升級的攻防戰。
