ClickLock:一种让Mac用户“主动“交出密码的新型恶意软件
网络安全圈最近被一款名为ClickLock的 macOS 恶意软件搅得人心惶惶。这款窃取程序不走寻常路它既不利用零日漏洞也不偷偷摸摸在后台运行而是直接把用户的电脑变成一块砖头——强制关闭所有正在运行的程序把用户锁在系统外面逼到墙角不得不输入密码。这种撕破脸的攻击方式让 macOS 的安全防线面临全新挑战。从暗中窃取到公开勒索攻击逻辑的根本转变ClickLock 的出现标志着 macOS 威胁格局正在经历一次质变。传统信息窃取器如 Atomic Stealer、Banshee Stealer倾向于隐蔽渗透而 ClickLock 直接把勒索软件和恐吓软件中常见的用户操纵策略搬上了 Mac 平台。Group-IB 的研究团队指出ClickLock 的感染链条通常始于一个看似无害的钓鱼页面。用户被诱导将一段命令粘贴到终端中执行随后恶意脚本开始运作。它先展示一个模仿 Cloudflare 验证流程的终端加载动画让用户误以为这是正常的浏览器验证步骤。一旦执行ClickLock 并不会立即暴露恶意意图。如果用户在弹出的伪造系统对话框中拒绝输入密码恶意软件会悄然安装两个 LaunchAgent然后安静退出等待下一次登录时机。210毫秒一次的死亡循环系统是如何被瘫痪的ClickLock 的杀手锏在于它的进程绞杀机制。当用户再次登录系统时恶意软件会启动一个循环每隔210 毫秒就强制终止 Finder、Dock、Spotlight、Terminal、Activity Monitor 以及所有主流浏览器进程。这个循环可以持续长达83 小时期间系统通知也会被完全屏蔽长达 6 小时。想象一下这个场景你的 Mac 桌面突然只剩一个孤零零的密码输入框所有应用反复崩溃点击任何图标都没有反应。系统仿佛被按下了自毁按钮而唯一能让一切恢复正常的就是输入你的 macOS 登录密码。这种制造可控混乱并呈现可信系统提示的策略精准击中了用户在恐慌状态下的心理弱点。由于请求看起来完全合法且发生在系统极度不稳定的情境下大多数人出于恢复功能的本能会不假思索地输入密码。密码一旦输入损失远超想象当用户输入密码后ClickLock 并不会停止破坏。相反它立刻解锁 macOS 钥匙串Keychain开始系统性地收割敏感数据浏览器凭据所有保存的登录密码、Cookie 和会话信息加密货币钱包涵盖 25 种主流数字钱包的扩展程序数据及桌面钱包文件密码管理器数据各类密码管理工具中存储的账户信息即时通讯应用数据聊天记录与账户凭据系统环境信息硬件详情和用户环境元数据用于后续精准攻击所有窃取的数据通过 Telegram 机器人传输到攻击者控制的命令与控制服务器。完成任务后ClickLock 还会自我销毁不留痕迹。技术拆解为什么传统防御手段失效ClickLock 的技术实现令人警醒——它完全依赖社会工程学和对系统工具的信任而非任何复杂的漏洞利用。表格攻击环节实现机制安全目标进程绞杀循环终止活跃进程210ms间隔制造系统崩溃假象诱发用户恐慌凭证诱导伪造 AppleScript 系统对话框骗取 macOS 主登录密码环境侦察调用原生系统工具收集元数据获取硬件信息用于后续攻击策划数据外泄Telegram Bot 通道传输将窃取信息送达攻击者手中Group-IB 的研究人员使用 kdiff3 工具对恶意脚本进行了深度比对分析发现其代码结构暗示该恶意软件仍处于活跃开发阶段未来可能加入自动数据泄露模块或高级持久化机制。更值得关注的是ClickLock 的编排脚本于 2026 年 6 月 9 日上传至 VirusTotal 时零杀毒引擎检出。这意味着在分析时它完全绕过了基于特征码的传统检测机制。全球蔓延欧洲成重灾区根据 Group-IB 的遥测数据ClickLock 自 2026 年 5 月以来已活跃传播至少波及33 个国家的 100 余名受害者其中超过半数位于欧洲。攻击者主要利用被入侵的 WordPress 域名作为分发渠道结合 ClickFix 社会工程学技术进行投递。这一趋势与更广泛的 ClickFix 攻击浪潮相呼应。安全厂商 ESET 的监测显示2025 年下半年至 2026 年上半年ClickFix 检测量激增108%而 RH-ISAC 的数据则显示从 2024 年底到 2025 年上半年相关攻击增长了517%。微软 Defender 专家处理的初始访问案例中有47%涉及该技术。攻击者已经将 ClickFix 从 Windows 平台扩展至 macOS并不断改进诱饵设计包括伪造蓝屏死机、冻结文档查看器以及服务特定的错误消息。更甚者还出现了滥用 Anthropic Artifact、OpenAI Canvas 和 Microsoft Copilot Pages 等合法域名展示虚假 AI 故障排除内容的AI-fix 变体。防御建议守住最后一道防线面对 ClickLock 这类不偷技术偷人心的威胁传统的技术防御需要与安全意识结合终端用户层面绝不粘贴不明终端命令。任何要求你将代码复制到 Terminal 的网站、聊天窗口或邮件都应视为高危信号。异常提示保持冷静。如果系统突然崩溃并弹出密码框不要急于输入。真正的系统验证不会在应用反复崩溃的情境下出现。重启优于妥协。遭遇应用连环崩溃时强制重启设备往往比输入密码更安全。企业安全层面部署具备高级行为检测的端点保护方案重点监控异常进程终止循环。建立终端命令执行的审计机制对 Terminal 中粘贴执行的命令进行告警。加强员工安全意识培训特别针对 ClickFix 类社会工程学攻击。应急响应一旦怀疑感染立即从干净设备上修改所有密码和加密货币钱包私钥。检查 ~/Library/LaunchAgents/ 目录下是否存在可疑的 LaunchAgent 配置文件。结语Mac 不再是安全孤岛ClickLock 的出现敲响了警钟随着 macOS 在企业环境中的市场份额持续攀升这个平台早已不再是网络犯罪分子的低优先级目标。攻击者正在将系统级破坏与凭证窃取相结合创造出比以往任何时候都更具压迫感的攻击体验。正如 Group-IB 研究人员所言ClickLock 的有效性恰恰在于它的简单性。通过制造可控的干扰并呈现可信的系统提示它绕过了所有技术防御直接瞄准了人类行为的弱点。在威胁不断演化的今天Mac 用户需要摒弃苹果电脑不会中毒的固有认知。真正的安全始于对每一次异常提示的审慎怀疑。