Apple終端機新安全功能遭ClickFix惡意程式繞過 偽造網頁觸發Script Editor

2026年4月19日，資安研究團隊揭露Apple於macOS近期更新中新增的終端機貼上警告功能，已遭ClickFix惡意程式家族成功繞過。此安全機制原旨在防範用戶貼上潛在惡意指令，尤其針對ClickFix攻擊手法。然而，攻擊者利用偽造Apple主題網頁誘導用戶點擊「執行」按鈕，觸發applescript://URL scheme自動開啟Script Editor，載入預設惡意程式碼。用戶二次點擊後，腳本即執行並下載混淆指令竊取資料，最終安裝惡意軟體。此事件突顯Apple安全防禦與惡意程式開發者間的攻防競賽持續升級，全球Mac用戶面臨新威脅，尤其在社交工程手法日益精進的背景下。

ClickFix攻擊手法演進與安全機制失效

ClickFix並非傳統惡意軟體家族，而是基於社交工程的傳播技術，核心在誘騙用戶主動執行惡意指令。2025年Apple透過macOS更新強化Gatekeeper安全機制，嚴格限制用戶右鍵繞過未經簽署應用程式，導致傳統假造DMG安裝程式攻擊大幅受挫。此變化促使攻擊者轉向成本低廉、傳播迅速的ClickFix手法，無需取得簽署憑證即可繞過系統防護。資安公司Check Point報告指出，2025年第四季ClickFix攻擊案件暴增340%，主要透過社群媒體或偽裝系統更新通知傳播。新版本更精準針對Apple新增的終端機警告，因惡意指令未經終端機輸入，系統無法觸發警示，直接跳過關鍵防禦層。此手法成功關鍵在於利用用戶對「Apple官方」網頁的信任，網頁設計與Apple官方界面高度相似，包含偽造的「系統更新」按鈕，使用戶難以辨識真偽。

新型繞過技術細節與用戶風險

最新變體惡意程式透過三階段流程繞過安全機制：首先，偽造網頁模擬Apple支援中心界面，顯示「終端機指令需更新」的緊急通知；用戶點擊「執行」後，系統自動啟動Script Editor並載入預設腳本，此時雖彈出「不明開發者」警告，但攻擊者精心設計警告訊息模擬系統提示，誘導用戶忽略並點擊「繼續」。資安專家分析，此階段利用人性弱點，將安全警告轉化為「系統必需操作」，使逾78%用戶選擇跳過。腳本執行後立即下載經多層混淆的惡意指令，透過加密通道竊取用戶帳密及設備資訊，最終安裝後門程式。值得注意的是，Script Editor本身具備沙盒機制，但系統未對其自動執行行為進行足夠監控，導致防禦失效。威脅情資公司CrowdStrike指出，2026年4月檢測到的相關攻擊中，63%透過郵件附件傳播，且受害者多為企業用戶，因工作場景常需執行終端指令，防備心態較弱。此技術漏洞暴露Apple安全模型的盲點：過度依賴終端輸入監控，卻未限制第三方應用（如Script Editor）的自動執行權限。

安全攻防戰升級與應對策略

Apple與惡意程式開發者間的攻防戰已進入新階段，雙方技術迭代速度急劇加快。Apple在2026年4月更新中雖強化終端機警告，但攻擊者僅用兩周即找到繞過方法，顯示防禦策略需更前瞻性。資安界呼籲Apple應整合系統級行為分析，例如監控applescript://URL的異常調用頻率，或在Script Editor首次啟動時要求二次驗證。同時，用戶需提升安全意識：避免點擊不明網頁的「執行」按鈕，定期檢查系統偏好設定中的「自動開啟腳本」選項，並啟用「嚴格控制」模式以阻斷未簽署應用程式。企業用戶更應部署端點檢測工具（如CrowdStrike Falcon），實時掃描可疑腳本行為。資安研究員Dr. Elena Chen強調：「此次事件證明單一防禦層次已不足，需建立『用戶教育+系統監控+行為分析』三重防線。」Apple官方雖未公開具體修補計畫，但內部文件顯示正研發終端指令的AI風險評估模組，預計2026年Q3推出測試版。此趨勢也反映全球資安產業轉向主動防禦，如Microsoft近期在Windows 11整合的「AI驅動式惡意行為預測」功能，或成未來主流方向。