11 月 14 日消息,据科技媒体 Tech Spot 今天报道,随着假期旅行季临近,各大酒店预订平台的订单量激增,目前已有一种名为 ClickFix 的木马现身互联网,它可以无声无息地在“我不是机器人”人机验证系统页面植入一段终端代码,窃取密码、身份令牌等。
据介绍,这种木马在前期诱骗手段本质上是使用了社会工程学攻击,黑客通常会将人机验证页面嵌入钓鱼网站中,其外观看起来与常见的 Cloudflare、reCAPTCHA 验证页面别无二致,但这些伪造的页面都会指使受害者将一段短字符串粘贴到电脑的终端(注:Terminal)里。
显然,资深的计算机用户都能知道将一段字符敲进终端里意味着什么,但一般情况下普通用户完全不知道他们在终端里按下回车会有什么后果,这些用户一般都会对“熟悉事物”保持天然信任感,并低估这段终端命令的破坏性。
从原理分析,用户执行这串恶意指令后,木马就会触发远程脚本、静默拉取并安装恶意载荷,这些可执行文件均为 Mach-O 格式,一段时间后就会部署名为 Shamos 的凭证窃取器,还能将受感染设备加入黑客的“肉机”列表,同时还会修改 macOS 的系统偏好设置,确保重启后仍能永久驻留。
值得注意的是,这种木马还会利用苹果 macOS 的 Gatekeeper 框架,完全绕过系统的应用完整性检测,使整个植入木马过程看似完全“合法”,系统不会发出任何明显提示,全程不会有任何提权输入密码窗口,也不会有“xxx.App已损坏”、“xxx.App不安全”等任何警告弹窗。
这其中最可怕的地方就在于,黑客伪造的人机验证页面与正版的没有任何区别,完全可以轻松骗过不熟悉电脑的用户,让他们言听计从地将恶意终端命令输入进 Windows 终端或 macOS 终端。
研究人员还指出,这种漏洞目前已经衍生出新版本,可在投放载荷前检测操作系统,可根据用户的电脑操作系统类型自动投送 Windows 二进制文件或 macOS Mach-O 文件,一旦用户的电脑中毒,那电脑里已经保存的密码、加密货币钱包凭证、企业环境认证令牌都会被远端的黑客窃取走。
不过该漏洞也显示出现阶段黑客往往利用“组合拳”打法,而不是单纯地秀肌肉,目前这些人的攻击手段已没有什么特别高的技术门槛,转为利用计算机用户对熟悉平台的信任感实施社会工程学攻击。
