Jacky网络犯罪分子又找到了一种针对 Mac 用户的新招数,他们改换了假错误提示的运作方式。过去一年里,诈骗团伙一直诱导用户把恶意代码复制粘贴到 Terminal(终端)里,从而下载窃取信息的软件。不过,Apple 在 macOS 26.4 版本中加强了安全机制,会扫描粘贴的文本并直接阻挡这类攻击。
为了绕过这个新防护,黑客现在把陷阱直接指向了 Mac 自带的脚本编辑器(Script Editor)。
新攻击如何绕过终端防护
以前的方法需要受害者手动复制一长串文本,再粘贴到 Mac 的命令行窗口里。新攻击则完全省掉了这个手动步骤。当用户访问恶意网页时,点击某个按钮就会触发一个特殊网页链接,向浏览器申请打开脚本编辑器。
因为这是苹果官方的系统应用,用户往往不会多想就直接同意了。
恶意软件用假的存储空间警告骗人
这次攻击活动使用的网页伪装得和苹果官方支持页面一模一样。它会显示一条警告,说电脑磁盘空间不足,并提供一个“一键清理”工具。当用户点击执行按钮时,浏览器就会自动打开脚本编辑器,并且已经把恶意代码填好了。
屏幕上的提示只是让用户运行脚本来清理存储空间,整个过程让人感觉像是在做一件正常的电脑维护操作。
隐藏代码到底在干什么
用户一旦点击运行,脚本就会在后台悄无声息地执行。它用隐藏指令把一款叫 Atomic Stealer 的恶意软件直接下载到系统内存中。这种窃取软件专门用来窃取密码、加密货币钱包信息以及个人文件。安全公司 Jamf 发现了这一战术变化,他们的研究显示,这种攻击一开始不把文件保存到硬盘,从而躲过基础安全扫描。
至于防护,最好的办法就是:遇到突然弹出“磁盘空间不足”警告的网页,直接关闭它。千万不要让网页浏览器擅自打开脚本编辑器这类系统应用。
全部评论0