安全厂商发现，近期一款窃密软件冒充知名硬盘清理工具CleanMyMac，通过ClickFix手法诱骗Mac用户下载并执行。

Malwarebytes研究人员发现钓鱼网站cleanmycos[.]org，假冒CleanMyMac官网，诱导用户安装窃密软件SHub Stealer。用户访问该网站时，会看到展示常见高级安全设置的界面，页面指示用户打开终端窗口，粘贴网页提供的macOS指令并按下回车键。整个过程没有弹出任何下载提示、磁盘图标或安全警告对话框。尽管用户未察觉异常，但恶意程序已悄然下载并执行。

研究人员指出，该指令执行后会迅速完成三个步骤：首先在终端输出看似合法的反馈信息，接着解码经过混淆处理的链接以获取真实下载地址，最后从攻击者控制的服务器下载shell脚本，并注入zshshell立即执行。

由于SHub Stealer是专为macOS设计的窃密程序，一旦执行上述操作，便会立即在用户设备上安装。它会窃取保存的密码、浏览器数据、Apple Keychain内容、加密货币钱包信息以及Telegram聊天记录。SHub Stealer甚至会修改电子钱包应用，如Exodus、Atomic Wallet、Ledger Wallet和Ledger Live，以便攻击者后续窃取钱包的恢复短语。

ClickFix手法近年来已成为传播Mac窃密软件的常见方式。此类攻击并不利用软件漏洞，而是诱导用户主动执行恶意代码。研究人员提醒，由于这一行为是用户自愿操作，苹果的安全机制如Gatekeeper、公证检查（notarization checks）和XProtect在用户粘贴指令并按下回车的瞬间已无法提供保护。

2024年也曾发生类似事件，Cthulhu Stealer针对macOS用户，冒充CleanMyMac、游戏软件Grand Theft Auto IV以及Adobe GenP等合法软件，诱骗用户下载以窃取加密货币钱包、账户密码等敏感信息。