clickfix

ChainCatcher 消息，据市场消息，微軟安全研究團隊發現，攻擊者自 2025 年底起透過發布虛假的 macOS 故障排除指南，誘導用戶運行惡意終端命令，從而竊取加密錢包、iCloud 數據和瀏覽器保存的密碼。這些虛假指南發布在 Medium、Craft 和 Squarespace 等平台上，針對用戶常見問題如釋放磁碟空間或修復系統錯誤，誘導用戶複製並粘貼惡意命令至終端，該命令會自動下載並運行惡意軟體。這種名為 ClickFix 的社會工程技術繞過 macOS 的 Gatekeeper 安全機制，因為受害者是主動執行命令。涉及的惡意軟體家族包括 AMOS、Macsync 和 SHub Stealer，可竊取 Exodus、Ledger 和 Trezor 的加密錢包密鑰，以及 Chrome 和 Firefox 中保存的用戶名和密碼。部分情況下攻擊者還會刪除合法錢包應用並替換為木馬版本。蘋果已在 macOS 26.4 版本中增加了阻止粘貼潛在惡意命令的保護功能。

ChainCatcher 消息，網絡安全機構 Moonlock Lab 報告稱，加密黑客近期升級 "ClickFix" 攻擊手法，開始冒充風險投資機構，通過社交平台接觸目標用戶，並誘導其執行惡意代碼，以竊取加密資產。攻擊者偽裝成 SolidBit、MegaBit、Lumax Capital 等虛假風投機構，通過 LinkedIn 發送合作邀約，並引導受害者進入偽造的 Zoom 或 Google Meet 會議鏈接。頁面中嵌入假的 Cloudflare "我不是機器人" 驗證按鈕，點擊後會將惡意命令複製至剪貼板，並誘導用戶在終端粘貼執行，從而完成攻擊。研究人員指出，該方式通過 "讓受害者自行執行命令" 規避傳統安全防護機制。與此同時，黑客還劫持瀏覽器擴展程序實施攻擊。網絡安全公司 Annex Security 創始人 John Tuckner 披露，Chrome 插件 QuickLens 在 2 月 1 日更換所有權後，于兩周後發布含惡意腳本的新版本，觸發 ClickFix 攻擊並竊取用戶數據。該插件約有 7,000 名用戶，目前已從商店下架。報告稱，被劫持的擴展程序會掃描加密錢包數據和助記詞，並抓取 Gmail 郵箱內容、YouTube 頻道數據及登錄或支付信息。

ChainCatcher 消息，据 Cointelegraph 報導，黑客正利用 "ClickFix" 攻擊手法竊取加密貨幣，最新兩起攻擊涉及冒充風險投資公司和劫持瀏覽器擴展程序。網絡安全公司 Moonlock Lab 報告稱，詐騙者冒充 SolidBit、MegaBit 和 Lumax Capital 等虛假 VC，通過 LinkedIn 聯繫用戶提供合作機會，然後引導其點擊虛假的 Zoom 和 Google Meet 鏈接。點擊鏈接後，用戶會被引導至帶有偽造 Cloudflare "我不是機器人"驗證框的頁面，點擊該框會將惡意命令複製到剪貼板，並提示用戶打開終端粘貼所謂的驗證碼，從而執行攻擊。Moonlock Lab 指出，這種手法讓受害者成為執行機制，繞過了安全行業的防禦措施。與此同時，黑客還通過劫持 Chrome 擴展程序 QuickLens 傳播惡意軟件。該擴展允許用戶在瀏覽器中直接運行 Google Lens 搜索，在被轉讓所有權後，新版本包含惡意腳本，可發起 ClickFix 攻擊並竊取信息。該擴展約有 7000 名用戶，被劫持後會搜索加密錢包數據和助記詞以竊取資金，還會抓取 Gmail 收件箱內容、YouTube 頻道數據以及輸入網頁表單的登錄憑證或支付信息。該擴展已被從 Chrome 網上應用店移除。ClickFix 技術自去年在黑客中流行，迫使受害者手動執行惡意負載，已影響全球數千企業及多個行業。