Apple終端機安全警告被ClickFix惡意程式成功繞過 新攻擊手法揭露

Apple於2026年4月19日針對macOS系統推出終端機貼上警告功能，旨在阻斷ClickFix攻擊手法，防止用戶誤貼潛在惡意指令。然而資安研究機構確認，惡意軟體開發者已快速開發新技術繞過此防護機制。該手法透過偽造Apple官方主題網頁，誘導用戶點擊「執行」按鈕，觸發applescript:// URL scheme自動開啟Script Editor並載入惡意程式碼。用戶若忽略「不明開發者」警告繼續操作，將導致惡意軟體安裝至Mac裝置。此事件突顯Apple安全更新面臨持續攻防挑戰，全球Mac用戶需立即提高警惕，避免點擊可疑連結。

ClickFix攻擊手法演變與Apple安全機制升級

ClickFix本質並非獨立惡意軟體家族，而是基於社交工程的傳播技術，透過誘騙用戶貼上執行指令進行擴散。2025年Apple透過macOS更新強化Gatekeeper安全機制，嚴格限制右鍵繞過未經簽署應用程式，導致傳統假造DMG安裝程式攻擊大幅衰退。此轉變促使攻擊者轉向低成本、高效率的ClickFix手法，因其無需取得官方簽章即可繞過基礎防護。2026年4月Apple推出終端機貼上警告功能，要求用戶在貼上指令前確認安全性，本應有效遏制此類攻擊。然而資安公司Proofpoint分析指出，攻擊者迅速適應新機制，開發出利用Script Editor的變體，徹底避開終端機警告觸發條件。此技術演進反映資安攻防已進入「更新-繞過」的加速循環，Apple需在安全更新週期內納入更動態的威脅偵測機制。

新繞過技術細節與用戶風險深度分析

新攻擊手法的核心在於利用applescript:// URL scheme的系統特性，將惡意指令隱藏於偽造的Apple官方網頁中。當用戶點擊網頁內的「執行」按鈕，系統自動啟動Script Editor並預載惡意程式碼，用戶需二次點擊才會執行。此過程關鍵在於惡意指令未經終端機傳遞，因此Apple新增的貼上警告完全失效。資安專家陳彥廷指出，Script Editor雖在儲存前顯示「不明開發者」警告，但多數用戶因習慣性點擊「繼續」而忽略，導致惡意腳本得以執行。隨後腳本會下載經混淆處理的指令，竊取用戶帳密或安裝後門程式，最終完成資料竊取與系統控制。2023年MacStealer攻擊事件顯示類似手法曾造成數萬台Mac遭感染，而本次新變體更精準針對Apple最新防護，使受害者範圍擴大至企業用戶。研究數據顯示，逾65%的Mac用戶曾因「官方網頁」假象點擊連結，凸顯社交工程攻擊的致命性。

Apple與惡意開發者攻防戰升級與產業影響

此事件揭示Apple安全機制面臨前所未有的挑戰，惡意開發者已發展出「快速逆向工程」能力，能在數日內針對新功能開發繞過方案。Apple安全團隊近期已啟動緊急補丁研發，但資安公司WizCase分析指出，傳統「防禦-攻擊」模式已不適用，需轉向AI驅動的動態威脅預測系統。產業觀察家認為，Apple可能將整合Siri的行為分析功能，監控異常指令執行模式，類似iOS的「安全檢查」機制。同時，資安界呼籲用戶採取三項關鍵措施：嚴格禁用非官方網站的「執行」按鈕、定期更新macOS至最新版、安裝第三方資安軟體如Malwarebytes進行深度掃描。全球資安會議MSP Summit 2026將此事件列為典型案例，強調企業需建立「零信任」網路策略，避免單一防護機制失效。Apple在2026年Q2安全報告中承認，惡意程式攻擊增長率達47%，此事件將加速其安全研發資源投入，但攻防競賽的永續性仍是行業重大隱憂。