微軟：假冒 macOS 故障排除頁面部署 ClickFix，竊取加密錢包金鑰

據 Cryptopolitan 於 5 月 11 日報道，微軟 Defender 安全研究團隊公布調查結果，發現攻擊者自 2025 年底起在 Medium、Craft 等平台上發布虛假 macOS 故障排除指南，誘導用戶在終端中執行惡意命令，從而安裝惡意軟體竊取加密錢包金鑰、iCloud 數據及瀏覽器儲存密碼。

攻擊機制：ClickFix 繞過 macOS Gatekeeper

根據微軟 Defender 安全研究團隊報告，攻擊者採用名為 ClickFix 的社會工程技術：在 Medium、Craft 及 Squarespace 等平台上發布偽裝為釋放磁碟空間或修復系統錯誤的 macOS 故障排除指南，引導用戶複製惡意命令並貼入 macOS Terminal，命令執行後即自動下載並啟動惡意軟體。

根據微軟報告，此手法繞過 macOS Gatekeeper 安全機制，原因在於 Gatekeeper 針對透過 Finder 開啟的應用程式執行程式碼簽章與公證驗證，但用戶直接在 Terminal 中執行命令的方式不受此驗證步驟約束。研究人員同時發現，攻擊者利用 curl、osascript 及其他 macOS 原生工具直接在記憶體中執行惡意程式碼（無文件攻擊），使標準防毒工具難以偵測。

惡意軟體家族、竊取範圍與特殊機制

根據微軟報告，此攻擊活動涉及三個惡意軟體家族（AMOS、Macsync、SHub Stealer）及三類安裝程式（Loader、Script、Helper），竊取目標數據包括：

加密錢包金鑰：Exodus、Ledger、Trezor

帳戶憑證：iCloud、Telegram

瀏覽器儲存密碼：Chrome、Firefox

私人文件及照片：小於 2 MB 的本機文件

惡意軟體安裝後會顯示虛假對話框，要求用戶輸入系統密碼以安裝「輔助工具」；若用戶輸入密碼，攻擊者即可取得完整文件及系統設定存取權。微軟報告另指出，部分情況下攻擊者刪除 Trezor Suite、Ledger Wallet 及 Exodus 的合法應用程式，並以植入木馬的版本取而代之以監控交易及竊取資金。此外，上述惡意軟體載入程式包含終止開關：若偵測到俄語鍵盤佈局，惡意軟體將自動停止執行。

相關攻擊活動與 Apple 防護措施

根據 ANY.RUN 安全研究人員的調查，Lazarus Group 已發起名為「Mach-O Man」的駭客行動，採用與 ClickFix 相同的技術，透過偽造會議邀請攻擊以 macOS 為主要作業系統的金融科技及加密貨幣公司。

Cryptopolitan 另報道，朝鮮駭客組織 Famous Chollima 使用 AI 生成程式碼，將惡意 npm 套件植入加密貨幣交易項目，該惡意軟體採用雙層混淆架構，竊取錢包數據及系統機密資訊。

根據報道，Apple 已在 macOS 26.4 版本中新增防護機制，可阻止標記為潛在惡意的命令貼入 macOS 終端。

常見問題

微軟 Defender 揭露的 ClickFix macOS 攻擊活動自何時開始，發布於哪些平台？

根據微軟 Defender 安全研究團隊及 Cryptopolitan 2026 年 5 月 11 日的報道，攻擊活動自 2025 年底開始活躍，攻擊者在 Medium、Craft 及 Squarespace 等平台上發布虛假 macOS 故障排除指南，誘導 Mac 用戶執行惡意 Terminal 命令。

此攻擊活動針對哪些加密錢包及數據類型？

根據微軟 Defender 報告，涉及惡意軟體（AMOS、Macsync、SHub Stealer）可竊取 Exodus、Ledger 及 Trezor 的加密錢包金鑰，以及 iCloud、Telegram 帳戶數據，以及 Chrome 和 Firefox 中儲存的使用者名稱和密碼。

Apple 針對此類攻擊推出了哪些防護措施？

根據報道，Apple 已在 macOS 26.4 版本中新增防護機制，阻止標記為潛在惡意的命令貼入 macOS Terminal，以降低 ClickFix 類型社會工程攻擊的成功率。