- 研究人员发现一个名为 Based Apparel 的网站正在传播伪装成 Cloudflare 验证的 macOS ClickFix 信息窃取器
- 受害者被诱骗在终端中粘贴恶意 Applescript 命令,VirusTotal 将该恶意软件标记为通用木马/信息窃取器
- 该网站基于WordPress/WooCommerce和Ghost CMS构建,在披露后被下线,将此次事件与正在进行的ClickFix活动中对Ghost CMS的广泛利用联系起来
美国在线服装公司Based Apparel,销售爱国主义、保守和自由言论主题的商品,似乎被入侵并用于通过ClickFix技术提供恶意软件——但仅针对macOS用户。
一位使用别名“debbie”的研究人员向公众透露了她的发现。PC Mag(PC杂志),在分享视频证据到X之前,她表示在网上读到Based Apparel是由FBI局长卡什·帕特尔共同创立的,因此决定仔细看看。
“点击修复攻击在我浏览时突然出现了,”黛比在邮件中说。“我快速查看了一下,它就是一个经典的窃信者,用base64(二进制到文本编码)包装了两次。虽然它用Applescript编写,但这很有趣。”
与Ghost CMS的链接?
受害者被要求在一个看似来自 Cloudflare 的验证码页面上验证他们是人类。这个冒充 Cloudflare 的网站会告诉受害者检测到“异常网络流量”,并要求受害者通过打开终端并粘贴页面上共享的命令来确认他们是人类。
将信息窃取器在 VirusTotal 上运行,PC Mag 被发现被 27 个杀毒引擎标记为木马和情报窃取器,这意味着它是一种通用的 恶意软件,而不是针对特定攻击的自定义解决方案.
Based Apparel 尚未评论,但该网站目前离线。在新闻发布时,该网站显示一条“我们很快就会回来”的消息,称公司正在进行“改进”。
该网站似乎使用两个内容管理系统构建——WordPress(配合WooCommerce实现商店功能),以及Ghost CMS(用于独立的新闻子域名)。
今天早些时候,我们报道了Ghost CMS中的一个严重漏洞 于2026年2月被修补,也被用于针对700多个域名发起ClickFix攻击.
关注TechRadar在Google新闻上 和 将我们添加为首选信息源 以便在您的信息流中获取我们的专家新闻、评测和观点。