サイバーセキュリティ研究者たちは、ClickFixというソーシャルエンジニアリングの手法を用いて、ユーザーを騙して情報窃取マルウェアであるAtomic macOS Stealer(AMOS)をAppleのmacOSシステムにダウンロードさせる新たなマルウェアキャンペーンに警鐘を鳴らしています。
CloudSEKによると、このキャンペーンは米国の通信プロバイダーSpectrumを模倣したタイポスクワットドメインを利用していることが判明しました。
「macOSユーザーには、システムパスワードを盗み、さらなる悪用のためにAMOSのバリアントをダウンロードするよう設計された悪意のあるシェルスクリプトが提供されます」と、セキュリティ研究者のKoushik Palは今週発表したレポートで述べました。「このスクリプトは、資格情報を収集し、セキュリティメカニズムを回避し、悪意のあるバイナリを実行するために、ネイティブのmacOSコマンドを使用します。」
この活動は、マルウェアのソースコードにロシア語のコメントが含まれていることから、ロシア語を話すサイバー犯罪者によるものと考えられています。
攻撃の出発点は、Spectrumを偽装したウェブページ(「panel-spectrum[.]net」または「spectrum-ticket[.]net」)です。問題のサイトを訪れた人々には、接続の「セキュリティを確認」するためにhCaptcha認証を完了するよう指示するメッセージが表示されます。
しかし、ユーザーが評価のために「私は人間です」チェックボックスをクリックすると、「CAPTCHA認証に失敗しました」というエラーメッセージが表示され、「代替認証」を進めるためのボタンをクリックするよう促されます。
これを行うと、コマンドがユーザーのクリップボードにコピーされ、被害者はオペレーティングシステムに応じた一連の指示を受けます。WindowsではWindowsの実行ダイアログを開いてPowerShellコマンドを実行するよう指示されますが、macOSではターミナルアプリを起動してシェルスクリプトを実行するように置き換えられます。
このシェルスクリプトは、ユーザーにシステムパスワードを入力するよう促し、次の段階のペイロード、つまり既知のスティーラーであるAtomic Stealerをダウンロードします。
「配信サイトのロジックが不十分で、プラットフォーム間で指示が一致しないことなど、急ごしらえのインフラを示しています」とPalは述べました。
「このAMOSバリアントキャンペーンの配信ページには、プログラミングとフロントエンドロジックの両方に不正確さが含まれていました。LinuxユーザーエージェントにはPowerShellコマンドがコピーされました。さらに、『Windowsキー + Rを押し続ける』という指示がWindowsとMacの両方のユーザーに表示されました。」
この発表は、過去1年間でClickFix戦術を使用してさまざまなマルウェアファミリーを配信するキャンペーンが急増している中で行われました。
「これらの標的型攻撃を実行するアクターは、通常、初期アクセスを得るために類似の技術、ツール、および手順(TTP)を利用します」とDarktraceは述べています。「これには、スピアフィッシング攻撃、ドライブバイ妥協、またはGitHubのような信頼できるオンラインプラットフォームを悪用して悪意のあるペイロードを配信することが含まれます。」
これらのベクターを使用して配布されるリンクは、通常、エンドユーザーを悪意のあるURLにリダイレクトし、偽のCAPTCHA認証チェックを表示して完了させ、ユーザーに無害な操作を行っていると誤解させる試みを行いますが、実際には存在しない問題を修正するために悪意のあるコマンドを実行するように誘導されます。
この効果的なソーシャルエンジニアリング手法の結果として、ユーザーは自分のシステムを危険にさらし、セキュリティコントロールを実質的に回避してしまいます。
2025年4月にDarktraceが分析したある事件では、未知の脅威アクターがClickFixを攻撃ベクターとして利用し、ターゲット環境に深く潜り込むために曖昧なペイロードをダウンロードし、横方向の移動を行い、システム関連情報をHTTP POSTリクエストを介して外部サーバーに送信し、最終的にデータを流出させることが判明しました。
「ClickFixの餌は、脅威アクターが人為的なエラーを悪用してセキュリティ防御を回避するために広く使用されている戦術です」とDarktraceは述べました。「エンドポイントユーザーを騙して、一見無害で日常的な操作を行わせることで、攻撃者はシステムへの初期アクセスを得て、そこで機密データにアクセスし、流出させることができます。」
他のClickFix攻撃では、Google reCAPTCHAやCloudflare Turnstileのような他の人気のあるCAPTCHAサービスの偽バージョンを使用して、日常的なセキュリティチェックのふりをしてマルウェアを配信しています。
これらの偽ページは、正規のものと「ピクセルパーフェクトなコピー」であり、時には実際のハッキングされたウェブサイトに注入されて、疑いを持たないユーザーを騙すこともあります。LummaやStealCのようなスティーラーや、NetSupport RATのような本格的なリモートアクセス型トロイの木馬(RAT)が、偽のTurnstileページを介して配布されるペイロードの一部です。
「現代のインターネットユーザーは、スパムチェック、CAPTCHA、ウェブサイト上のセキュリティプロンプトに圧倒されており、これらをできるだけ早くクリックして通過するように条件付けられています」とSlashNextのDaniel Kelleyは述べました。「攻撃者は、この『検証疲れ』を悪用し、多くのユーザーが日常的に見える手順に従うことを知っているため、提示された手順に従うでしょう。」
翻訳元: https://thehackernews.com/2025/06/new-atomic-macos-stealer-campaign.html