自5月以来,至少100名受害者分布在33个国家,超过一半位于欧洲——这款被称作ClickLock的苹果电脑窃密软件,正用一种近乎羞辱的方式扩散。它不搞隐蔽渗透,而是直接亮出勒索逻辑:拒绝交出登录密码,就每隔210毫秒杀掉一个应用,直到系统桌面只剩一个密码输入框。

整个过程设计得极其针对“拒绝配合”的用户。最初,恶意指令以粘贴到终端的形式出现,弹出一个仿冒系统对话框索要密码。受害者一旦点击取消,脚本并不会纠缠,而是安静地安装两个启动代理后就退出了。真正的折磨从下次登录开始——访达、程序坞、聚焦搜索、终端、活动监视器以及主流浏览器,每隔210毫秒轮番崩溃,最长持续83小时。桌面上只剩下那个要求你键入密码的对话框。

打开网易新闻 查看精彩图片

第二个启动代理补上了一层更持久的枷锁。它以0.2秒的间隔启动专属的杀进程循环,最多运行300万秒,约合34.7天;同时还有一个后台进程每隔半秒就查询钥匙串,索要Chrome浏览器保存密码用的安全存储密钥。这个查询会触发真实的系统授权提示,桌面因此被完全劫持,直到用户点下允许。为了不让受害者轻易反抗,活动监视器和终端都在被杀列表里,NotificationCenter也会被单独杀足6小时,确保沙箱警告不会弹出来打扰。

窃取成果相当丰厚。攻击者一旦拿到用户输入的密码,就能用安全存储密钥离线解密Chrome保存的所有密码和Cookie,并打包浏览器凭据、加密钱包扩展数据、桌面钱包文件、密码管理器保险库、钥匙串、Shell历史记录以及FileZilla保存的服务器登录信息。安全研究人员给出的建议毫不含糊:立刻注销所有活跃的浏览器会话,把每一个保存过的密码、Cookie和钱包密钥都当作已泄露,全部更改。

值得警惕的是,这个恶意软件至今仍被很多安全引擎放过。6月9日上传到VirusTotal的协调脚本,在Group‑IB分析时检出率为零。分析师根据代码结构判断,该软件可能还在开发迭代中。更让人不安的是,所有诱饵页面至今未被发现——攻击者用到的投放域名、落地页设计、引流方式全部未知,只掌握了三个被入侵的文件托管主机。Group‑IB高度确信前端使用了ClickFix技术,但从未真正见到其界面。

如果终端没有全磁盘访问权限,脚本甚至会主动打开系统设置并引导受害者一步步授予。这种“贴心”的胁迫设计,让拒绝变成一场关于耐心的对决——而普通用户几乎没有胜算。