假CleanMyMac冒充工具散播竊資軟件 ClickFix手法誘騙用戶

資安廠商Malwarebytes近期揭露一項針對Mac用戶的新型竊資攻擊事件。攻擊者冒充知名硬碟清理工具CleanMyMac，透過ClickFix手法誘騙用戶造訪偽造網站cleanmycos[.]org。當用戶依網頁指示於終端視窗輸入指令後，系統自動下載竊資軟體SHub Stealer。此軟體會竊取已儲存密碼、瀏覽器資料、Apple Keychain內容及加密貨幣錢包等敏感資訊，且因屬用戶自願執行，蘋果Gatekeeper與公證檢查等安全機制完全失效。研究顯示，該手法已導致全球多國Mac用戶資產遭竊，攻擊者透過修改Exodus、Ledger Wallet等App，竊取恢復短語以直接轉移數位資產，造成單筆損失高達數十萬美元。

擊擊手法深度解析

ClickFix手法的核心在於利用用戶信任誘導其執行惡意指令，而非濫用軟體漏洞。攻擊者精心設計偽造網站cleanmycos[.]org，模擬CleanMyMac官方介面，展示「進階安全選項」等誘餌內容。用戶造訪後，網頁會指示「開啟終端視窗，貼上指令並按Return」，過程中完全無下載提示或安全對話框，使用戶誤以為是合法操作。實際上，該指令執行分三步驟：首先輸出看似正當的終端回應（如「清理完成」），接著解碼混淆連結至攻擊者伺服器，最後下載shell script並注入zsh執行。此過程僅需數秒，用戶毫無察覺，系統即完成惡意程式安裝。Malwarebytes研究員指出，2024年類似攻擊已增三倍，2023年Cthulhu Stealer曾偽裝Adobe GenP誘騙用戶，導致全球逾5萬台Mac裝置遭竊，顯示此手法正成為資安威脅主流。

SHub Stealer危害範圍與技術特徵

SHub Stealer作為專為macOS設計的竊資工具，其危害深度遠超一般惡意軟體。執行後立即竊取四大類資料：一是瀏覽器儲存密碼與Cookie，二是Apple Keychain內的帳號資訊，三是加密貨幣錢包如Exodus、Atomic Wallet的私鑰，四是Telegram等通訊軟體的對話記錄。更關鍵的是，該程式會主動修改錢包App的用戶介面，偽裝成「系統更新」提示，誘導用戶輸入恢復短語（recovery phrase），此短語等同於錢包「密碼」，一旦竊取即可直接轉移數位資產。研究分析顯示，2024年Q2至Q3間，SHub Stealer影響範圍擴及歐美主要數位資產持有者，其中87%受害者為加密貨幣投資者，平均損失達12.3個以太幣。資安專家強調，其技術特徵包含動態加密指令與反偵測機制，可繞過常見防毒軟體掃描，且因屬「用戶主動操作」，蘋果安全機制在指令執行後完全失效。

防範策略與產業應對挑戰

面對ClickFix手法的快速蔓延，資安界提出三層防護策略。首要為用戶教育：避免執行來源不明的終端指令，下載軟體應透過App Store或官方網站，並啟用「安全性與隱私」設定中的「僅允許來自App Store和已認證開發者」選項。其次為企業部署：企業IT部門需強制執行終端指令白名單，並安裝行為監控工具如Malwarebytes Endpoint Protection，實時阻斷異常腳本執行。最後是產業協作：蘋果應強化XProtect系統對終端指令的即時分析能力，例如在用戶貼上命令前彈出警示視窗。然而，資安研究員指出，此類攻擊的挑戰在於其「無漏洞」特性——攻擊者不需利用系統漏洞，僅需誘騙用戶操作，使傳統防護手段失效。2024年資安報告顯示，Mac平台惡意軟體攻擊年增率達142%，其中ClickFix手法佔63%，反映產業需從「被動防禦」轉向「主動教育」。專家建議用戶定期備份錢包恢復短語至離線硬體錢包，並啟用兩步驟驗證，以降低資產竊取風險。