人们常说Mac不会中毒,可这次出现的恶意软件,却偏偏不走寻常路。它不是去钻系统的漏洞,也不是在后台偷偷搬数据,而是用一种近乎蛮不讲理的方式,直接剥夺你对电脑的控制权——不交出登录密码,就让你连桌面都看不到。

网络安全研究机构Group-IB近期公布的一份报告,由BleepingComputer率先报道,把这个被命名为ClickLock的恶意软件推进了公众视野。根据研究人员掌握的数据,从今年5月起,ClickLock已经在全球33个国家感染了至少100台Mac。而更让人后背发凉的是,6月份它第一次被人上传到VirusTotal在线检测平台时,上面所有的安全引擎,没有一个把它标成恶意。

打开网易新闻 查看精彩图片

ClickLock的整个攻击链条,要从一个精心伪装的人机验证页面说起。受害者在浏览网页时,很可能弹出一个看起来完全正常、甚至带点例行公事的Cloudflare验证窗口。页面上会要求用户“证明你是人类”,而证明的方法,并不是常见的点击图片,而是复制一段命令到Mac的终端里执行。这种手法在安全圈里有一个专门的名字,叫ClickFix攻击。就在受害者盯着屏幕上那个缓慢前进的假验证进度条时,恶意软件已经在后台悄悄地把自己下载到了系统中。

这个阶段,ClickLock还做了三件事来确保自己不被发现。它会禁用键盘中断信号,让你没法用组合键强行退出当前程序;它会把终端窗口的光标藏起来,避免你注意到命令行里有什么异常;它还会一口气关掉macOS通知中心的所有提醒,而且这个静默期长达将近六个小时。对普通用户来说,这六个小时足够让一切看起来都“风平浪静”,哪怕后台已经暗流涌动。

当恶意软件完成初始部署,真正的压迫感才刚开始。屏幕上会突然弹出一个macOS系统密码输入框,界面跟苹果原生的简直一模一样。对话框里不仅带着Apple的品牌元素,甚至还清楚地显示着这台Mac当前登录用户的真实账户名。大多数人在这种情境下的直接反应,就是输入自己的密码,好让电脑“恢复正常”。可一旦你在这个对话框里敲下正确的密码,ClickLock会立刻在本地验证它的有效性,随后通过Telegram把账户和密码原封不动地发给幕后的攻击者。

如果用户起了疑心,选择了拒绝或者关闭对话框,事情也不会就此结束。ClickLock已经提前在机器里植入了持久化机制,哪怕你强行重启了电脑,它也会在下次登录时再次激活。一旦触发,这个恶意软件就会以每210毫秒一次的频率,开始循环杀死macOS的重要系统进程。Finder会被强行关掉,桌面上的图标和文件窗口瞬间消失;Dock程序坞直接瘫痪,你常用的应用图标都看不见了;终端、活动监视器、控制中心、系统设置、聚焦搜索,乃至常见的第三方浏览器,全都在这个名单上。一个接一个地被终止,然后又试图重启,再被终止。最终留给用户的,只剩下一个孤零零的密码输入框,横在屏幕正中央,除此之外什么都点不了,什么都打不开。

Group-IB的研究人员指出,这种循环可以持续超过83个小时。换句话说,如果受害者铁了心不输密码,他将在将近三天半的时间里面对一台几乎等同于砖头的电脑。而绝大多数人,在几次尝试无果之后,终归还是会选择交出密码,换回对设备的正常使用权。攻击者赌的,就是这一点人性。

然而登录密码只是整个盗窃计划的第一把钥匙。ClickLock真正盯上的,是深埋在系统钥匙串和你所有浏览器里的海量隐私数据。当受害者终于在那个逼真的对话框里输入密码之后,恶意软件紧接着就会弹出一个钥匙串访问请求,同样打着苹果系统的名义,要求你“授权”。一旦用户点击允许,它就会获取Chrome浏览器的安全存储密钥。拿到这把钥匙之后,攻击者就能在任意一台设备上,解密保存在Chromium内核浏览器里的所有网站密码、登录状态Cookie,还有自动填写的地址、信用卡信息等内容。

恶意软件的数据窃取模块远不止针对浏览器。研究团队确认,ClickLock还会扫描并抓取加密货币钱包的凭证,以及各类密码管理器里集中保存的账号信息。也就是说,一旦打开了这道门,受害者的数字生活几乎等于瞬间透明。而这一切,都源自于用户在心理压力下,亲手敲入的那一串字符。

ClickLock的出现,实际上重新撕开了一个老生常谈却始终难以堵住的安全口子:人本身。以往人们讨论macOS安全,焦点大多集中在零日漏洞、权限提升、沙箱逃逸这类技术对抗上。但ClickLock几乎没用上任何高深技术,它靠的是社会工程学最原始也最有效的方式——制造恐惧和紧迫感,然后给出一个看似合规的“解决方案”。当屏幕上反复出现和原版一模一样的系统弹窗,当你能用的每一个程序都被强行关闭,当所有的求救出口都被人为堵死,理性就会开始一点点让步给本能。

这种攻击策略也解释了为什么6月份它能在VirusTotal上实现零检出。传统的恶意软件检测引擎,更多依赖特征码匹配和行为沙箱分析来判断一个文件是否危险。但ClickLock的初始载体只是一段需要用户主动复制粘贴到终端执行的命令,它不像传统病毒那样有明显的文件写入或进程注入行为,也没有利用已知的系统漏洞。单看那一段命令,安全引擎只会把它当作一个无害的脚本,完全想不到背后连接的是一整套密谋已久的数据收割链路。

从感染规模上看,目前一百余台的受害数量在庞大的macOS用户群体里,仍然算是一个很小的样本。但33个国家的分布范围,意味着这已经不是一次只针对特定地区的小规模测试。Group-IB正在持续跟踪它的幕后控制服务器和传播渠道,不过Telegram作为指令控制和数据回传通道,给溯源和反制带来了不小的难度。攻击者可以随时更换频道、账户和令牌,就像把通信节点藏在一个流动性极强的暗网里,每次都换一张脸。

对普通Mac用户而言,ClickLock的威胁链条也指向一个非常现实的问题:你有多久没留意过自己敲进终端里的每一行命令了?在开发者圈子里,从网上直接复制一段脚本到终端运行,有时确实是一种提高效率的捷径,但在这种习惯之下,对命令内容的不加审视,恰恰成了攻击者最乐意看到的破绽。更不用说那些伪装成验证、认证、插件安装页面,要求你“粘贴并回车”才能继续浏览的网址,已经越来越善于模仿真实服务的界面和交互逻辑。

即便你不是程序员,也可能会在一些打着“破解”“汉化”“资源下载”旗号的网站里遭遇类似的手段。一个窗口弹出来,告诉你“出于安全原因,请完成以下验证”,然后给你一段命令,旁边甚至可能配上注释,告诉你这就是正常的macOS验证流程。在缺乏警惕的情况下,很多人真的会照做。而ClickLock的整个剧本,就是在这种看似无害的操作里,完成了一次彻底的身份劫持。

当恶意软件开始每隔210毫秒杀掉Finder和Dock时,受害者面对的不只是一台卡死的电脑,而是一个被精心设计好的心理陷阱。没有活动监视器,你没法强制退出恶意进程;没有终端,你没法手动输入卸载命令;没有浏览器,你甚至连上网查一查“电脑上突然弹出输入密码框是不是病毒”都做不到。