打开网易新闻 查看精彩图片

2024年,全球macOS恶意软件攻击量同比上涨47%。苹果刚给终端加上粘贴命令扫描功能,黑客转头就盯上了另一个出厂即预装的工具——Script Editor(脚本编辑器)。

Jamf Threat Labs最近截获的一起攻击campaign(活动)显示,攻击者正在用"回收磁盘空间"当诱饵,诱导用户一键授权运行恶意脚本。安全团队评价:「Script Editor有充分的恶意软件投递历史,但结合ClickFix手法和URL scheme调用,这组合立刻引起了我们的注意。」

ClickFix的"变形记":从终端到脚本编辑器

ClickFix的"变形记":从终端到脚本编辑器

ClickFix攻击不算新东西。过去两年,这类攻击的标准流程是:伪造一个系统错误提示页面,告诉用户"需要修复",然后诱导复制粘贴一段命令到终端执行。

苹果在macOS 26.4(即Sonoma 14.4)里加了道防线——终端会自动扫描粘贴的命令,识别恶意特征并拦截。这招确实管用了一阵子。

但攻击者的响应速度比多数人预期的快。Jamf发现的这个新变种,把投递渠道从Terminal(终端)切换到了Script Editor。后者是macOS自带的脚本编写工具,支持AppleScript和JavaScript,普通用户可能从来没打开过,但系统里一直躺着。

关键区别在于交互路径。终端攻击需要用户手动复制、粘贴、回车三步;而新手法只需要点一个"执行"按钮,剩下的由URL scheme自动完成。

URL scheme:被滥用的"快捷通道"

URL scheme:被滥用的"快捷通道"

URL scheme是苹果生态里的一种特殊链接格式,用自定义前缀触发特定应用动作。比如`applescript://`就能直接唤起Script Editor并传入预设代码。

攻击者搭建的钓鱼页面伪装成磁盘清理工具,页面中央放着一个醒目的"Execute"按钮。用户点击后,浏览器弹出授权对话框——"是否允许打开Script Editor?"

多数人对这个弹窗没有戒心。它看起来和点击邮件里的会议链接、或者网页跳转App Store的提示没什么区别。一旦点击"允许",Script Editor就会打开,里面已经填好了一段看似无害的清理脚本。

Jamf的研究人员指出:「这种方式减少了用户的直接操作。用户从网页被引导进一个预填充的Script Editor窗口,而不是在终端里手动输入命令。」

脚本执行后,后台下载的是Atomic Stealer(原子窃取者),一款专门针对macOS的信息窃取木马。它能翻浏览器保存的密码、挖加密货币钱包、扒取系统信息和文件。

Atomic Stealer的"业务版图"

Atomic Stealer的"业务版图"

Atomic Stealer在地下市场按订阅制售卖,月费约1000美元。买家拿到的是一套配置面板,可以自定义要窃取的数据类型、指定回传服务器、甚至设置针对特定地区或应用的定向规则。

这款恶意软件的"优势"在于免杀能力更新频繁。安全厂商的检测数据显示,2024年上半年Atomic Stealer的变种数量比去年同期增长了213%,平均每个样本在野存活时间约72小时——刚好够绕过一批静态签名检测。

macOS长期被部分用户视为"不用装杀毒软件"的安全绿洲。但攻击数据正在扭转这个印象:2023年针对Mac的信息窃取类恶意软件首次超过Windows平台同类型样本的增长率,而2024年这一差距还在扩大。

苹果的安全架构设计偏向"默认拒绝"——未经签名的应用需要用户手动绕过Gatekeeper(门禁)才能运行。但ClickFix+Script Editor的组合绕过了这个环节:Script Editor本身是系统签名的合法应用,它执行的脚本不需要额外授权。

企业环境的连锁反应

企业环境的连锁反应

Jamf的客户群体主要是企业IT管理方。他们在报告中特别提到,这类攻击在混合办公场景下危害被放大——员工用自己的Mac处理工作,个人设备上的凭证泄露可能横向渗透到公司系统。

一些企业开始禁用Script Editor的URL scheme调用,但这需要手动配置配置文件(configuration profile),对普通用户不友好。苹果目前没有在系统设置里提供图形化的开关选项。

更麻烦的是检测盲区。终端命令扫描是明确的拦截点,安全团队可以在这里布控;但Script Editor的脚本执行分散在正常的自动化工作流里,行为特征更难区分善恶。

Jamf建议的缓解措施包括:监控`applescript://`的调用日志、限制非管理员账户的Script Editor权限、以及对员工进行针对性的钓鱼模拟训练。但这些措施的执行成本,对中小团队来说不算低。

一个值得注意的细节是,攻击者在钓鱼页面上用了"reclaim disk space"(回收磁盘空间)的话术——这恰好是macOS用户常见的真实痛点。SSD价格虽然下降,但苹果设备的存储溢价仍然明显,256GB起步的配置让很多人常年处于空间焦虑中。

黑客对痛点的精准拿捏,让技术防御之外又多了一层心理战的维度。当你的系统弹出一个"帮你清理20GB空间"的按钮时,有多少人会先停下来检查URL scheme的调用来源?