服装网站 BasedApparel.com,由 FBI 前局长 Kash Patel 联合创办,被发现遭黑客入侵。攻击者通过伪装成 Cloudflare 网站验证的弹窗,诱骗 macOS 用户在电脑上运行恶意代码。该代码旨在窃取用户浏览器中保存的密码和加密钱包数据。此事件暴露了一种被称为“ClickFix”的常见攻击手法,并提醒用户警惕要求复制和粘贴不明指令的网页提示。
攻击如何运作
这种被称为“ClickFix”的攻击,利用了用户的信任,通过一系列具有欺骗性的步骤来植入恶意软件。
伪装验证页面: 当用户访问该网站时,会弹出一个伪装成 Cloudflare“确认您是人类”的验证页面,声称检测到“异常网络流量”。
诱导执行命令: 页面要求用户通过一种非常规的方式进行验证:打开 macOS 的“终端”程序 (Terminal)。
欺骗性复制: 页面上有一个“复制”按钮,旁边看似无害的文字写着“我不是机器人”。然而,当用户点击按钮时,实际复制到剪贴板的是一长串经过混淆的恶意指令,而非表面上显示的文字。
执行恶意代码: 用户被引导将复制的内容粘贴到终端并运行。一旦执行,这个隐藏的指令就会从黑客控制的服务器下载并运行一个恶意脚本。
这种攻击的核心在于欺骗。用户以为自己在进行简单的身份验证,实际上却在不知不觉中为黑客打开了自己电脑的大门。
恶意软件的目标与性质
安全人员分析了被下载的恶意脚本,确认其为一种木马和信息窃取程序。
- 信息窃取器 (Infostealer): 它的主要目的是窃取存储在电脑上的敏感信息。
- 窃取目标: 该恶意软件专门针对以下数据:
- 存储在 Chromium 内核浏览器(如 Chrome、Edge 等)中的网站账号和密码。
- 加密货币钱包中的数据。
- 确认恶意: 在 VirusTotal 平台上,该恶意软件被 27 个反病毒引擎标记为恶意程序。
安全提醒与背景
这次事件并非个例,而是“ClickFix”攻击模式持续存在的又一证明。这类攻击通常针对安全意识较弱的用户。
攻击的发生提醒我们,需要时刻警惕各类弹窗和利用恐慌心理的策略。
黑客通常通过以下方式传播此类攻击:
- 窃取合法网站的管理员登录凭据。
- 攻击网站暴露在外的后台管理面板。
- 利用网站插件中存在的安全漏洞。
为了应对此类威胁,苹果公司已在 macOS 系统中引入了一项保护措施,当用户试图将从网页复制的命令粘贴到终端时,系统会发出警告,以防止恶意软件的执行。这再次强调了永远不要盲目相信并执行来自不明网页的任何指令。