ClickFix macOS 攻撃で Infostealer 配布

はじめに

Microsoft は、偽のトラブルシューティング記事や不正なユーティリティ導入手順を通じて macOS ユーザーを狙う、進化した ClickFix キャンペーンを追跡しています。重要なのは、この攻撃が従来のアプリダウンロード型から離れ、代わりに Terminal コマンドを悪用している点です。これにより、標準的な macOS アプリのインストール時にユーザーが期待する一部の保護を攻撃者が回避しやすくなります。

新たに判明した点

Microsoft によると、脅威アクターは独立系 Web サイト、Medium、Craft などのユーザー主導型プラットフォームに、偽の macOS アドバイスを投稿しています。おとりの内容は、ディスク容量の解放やシステム不具合の修正といった一般的な問題の解決をうたうことが多くあります。

このキャンペーンにおける主な変化は次のとおりです。

• ユーザーは Base64 エンコード済み、または難読化されたコマンドを Terminal に貼り付けるよう指示される
• そのコマンドがリモートコンテンツを取得し、スクリプトベースのローダーを起動する
• 攻撃者は curl、osascript、シェルインタープリターなどのネイティブツールを使用する
• この手法により、Finder で開いたアプリバンドルに適用される通常の Gatekeeper 型チェックを回避する
• 確認されたペイロードには Macsync、SHub Stealer、AMOS が含まれる

Microsoft はさらに、3 つの実行経路を特定しています。

• Loader install campaign
• Script install campaign
• Helper install campaign

これらの亜種に共通する目的は明確です。認証情報や機密ファイルを収集し、永続化を確立し、データを外部へ送信することです。

IT 管理者にとって重要な理由

このマルウェアは、単純な認証情報の窃取にとどまりません。Microsoft によると、これらの infostealer は次の情報を収集できます。

• Keychain のエントリ
• iCloud アカウントデータ
• ブラウザーの認証情報
• Telegram データ
• メディアファイルとドキュメント
• 暗号資産ウォレットのデータ

一部の亜種は、正規の暗号資産ウォレットアプリをトロイの木馬化したバージョンに置き換えることもあり、金銭的被害のリスクを高めます。

セキュリティチームにとって、より大きな懸念はユーザー主導の実行です。被害者自身が Terminal でコマンドを手動実行するため、攻撃者は悪意あるアプリパッケージへの依存を減らし、侵害成功の可能性を高めています。

推奨される対策

管理者とセキュリティチームは、次の対策を講じるべきです。

• ブログ、フォーラム、トラブルシューティングページの内容をそのまま Terminal に貼り付けないよう、ユーザー教育を実施する
• curl、osascript、シェルインタープリターの不審な使用や、予期しない LaunchAgent / LaunchDaemon の作成を監視する
• /tmp/shub_<random ID> のようなステージングパスや、/tmp 内での不審なアーカイブ作成を調査する
• データ流出、認証情報入力の要求、不正な更新サービスに関連する永続化の検出を確認する
• 暗号資産関連アプリと、Keychain などの機密ユーザーデータ保存領域の保護を優先する

まとめ

この ClickFix macOS キャンペーンは、従来のアプリベース防御を回避するために、ソーシャルエンジニアリングがどのように適応しているかを示しています。防御側にとっては、ユーザーの意識向上、エンドポイント監視、不審なスクリプト実行の検出が、データが盗まれる前にこれらの infostealer チェーンを阻止するうえで不可欠です。