clickfix

ChainCatcher 消息，据市场消息，微软安全研究团队发现，攻击者自 2025 年底起通过发布虚假的 macOS 故障排除指南，诱导用户运行恶意终端命令，从而窃取加密钱包、iCloud 数据和浏览器保存的密码。 这些虚假指南发布在 Medium、Craft 和 Squarespace 等平台上，针对用户常见问题如释放磁盘空间或修复系统错误，诱导用户复制并粘贴恶意命令至终端，该命令会自动下载并运行恶意软件。这种名为 ClickFix 的社会工程技术绕过 macOS 的 Gatekeeper 安全机制，因为受害者是主动执行命令。 涉及的恶意软件家族包括 AMOS、Macsync 和 SHub Stealer，可窃取 Exodus、Ledger 和 Trezor 的加密钱包密钥，以及 Chrome 和 Firefox 中保存的用户名和密码。部分情况下攻击者还会删除合法钱包应用并替换为木马版本。苹果已在 macOS 26.4 版本中增加了阻止粘贴潜在恶意命令的保护功能。

ChainCatcher 消息，网络安全机构 Moonlock Lab 报告称，加密黑客近期升级 “ClickFix” 攻击手法，开始冒充风险投资机构，通过社交平台接触目标用户，并诱导其执行恶意代码，以窃取加密资产。攻击者伪装成 SolidBit、MegaBit、Lumax Capital 等虚假风投机构，通过 LinkedIn 发送合作邀约，并引导受害者进入伪造的 Zoom 或 Google Meet 会议链接。页面中嵌入假的 Cloudflare “我不是机器人” 验证按钮，点击后会将恶意命令复制至剪贴板，并诱导用户在终端粘贴执行，从而完成攻击。研究人员指出，该方式通过 “让受害者自行执行命令” 规避传统安全防护机制。与此同时，黑客还劫持浏览器扩展程序实施攻击。网络安全公司 Annex Security 创始人 John Tuckner 披露，Chrome 插件 QuickLens 在 2 月 1 日更换所有权后，于两周后发布含恶意脚本的新版本，触发 ClickFix 攻击并窃取用户数据。该插件约有 7,000 名用户，目前已从商店下架。报告称，被劫持的扩展程序会扫描加密钱包数据和助记词，并抓取 Gmail 邮箱内容、YouTube 频道数据及网页登录或支付信息。.

ChainCatcher 消息，据 Cointelegraph 报道，黑客正利用 “ClickFix” 攻击手法窃取加密货币，最新两起攻击涉及冒充风险投资公司和劫持浏览器扩展程序。网络安全公司 Moonlock Lab 报告称，诈骗者冒充 SolidBit、MegaBit 和 Lumax Capital 等虚假 VC，通过 LinkedIn 联系用户提供合作机会，然后引导其点击虚假的 Zoom 和 Google Meet 链接。点击链接后，用户会被引导至带有伪造 Cloudflare “我不是机器人”验证框的页面，点击该框会将恶意命令复制到剪贴板，并提示用户打开终端粘贴所谓的验证码，从而执行攻击。Moonlock Lab 指出，这种手法让受害者成为执行机制，绕过了安全行业的防御措施。与此同时，黑客还通过劫持 Chrome 扩展程序 QuickLens 传播恶意软件。该扩展允许用户在浏览器中直接运行 Google Lens 搜索，在被转让所有权后，新版本包含恶意脚本，可发起 ClickFix 攻击并窃取信息。该扩展约有 7000 名用户，被劫持后会搜索加密钱包数据和助记词以窃取资金，还会抓取 Gmail 收件箱内容、YouTube 频道数据以及输入网页表单的登录凭证或支付信息。该扩展已被从 Chrome 网上应用店移除。ClickFix 技术自去年在黑客中流行，迫使受害者手动执行恶意负载，已影响全球数千企业及多个行业。