研究者は、サイバー犯罪者が検索広告と共有されたClaudeチャットを使用して、被害者を一般的なClickFix攻撃に誘導し、macOSデバイスにマルウェアをインストールさせていることを発見しました。
ClickFixは、ユーザーを欺いて自分のデバイスにマルウェアを感染させるソーシャルエンジニアリング手法です。ユーザーは、マルウェア(通常はインフォスティーラー)をダウンロードする特定のコマンドを実行するよう指示されます。
研究者は、ユーザーが「Claude Mac ダウンロード」などの用語を検索すると、正当なclaude.aiドメインに移動するように見える検索広告が表示される可能性があることを発見しました。
実際には、これらの広告は、正当な「Mac用 Claude Code」またはApple Supportガイドのように見えるように設定された実際のClaudeの共有チャットに解決されます。BleepingComputerによる独立した調査は、同じ目的を果たす別のチャットを発見しました。チャットは被害者にTerminalを開き、base64エンコードされたコマンドを貼り付けるよう指示します。このコマンドは、攻撃者が管理するインフラストラクチャからローダーシェルスクリプトを取得し、メモリ内で実行します。
スクリプトはシステムをプロファイルし、第2段階のペイロードをダウンロードし、macOSの組み込みスクリプティングエンジンであるosascriptを通じて実行します。これにより、攻撃者は従来のアプリケーションやバイナリをドロップすることなく、リモートコード実行(RCE)を取得します。
これはMacSync型のペイロードになり、ブラウザの認証情報、クッキー、キーチェーンの内容、暗号ウォレットデータを収集し、すべての情報をHTTP経由で攻撃者のサーバーに送信します。
安全を保つ方法
macOS Tahoe 26.4以降を実行しているユーザーはClickFix攻撃の可能性に関する警告が表示されますが、その他のユーザーは依然として常識に頼る必要があります。
ClickFixが横行し、常に新しい手法を発明しているため、認識を続け、注意深く、保護されたままでいることが重要です。
- ゆっくり進む。特にデバイスでコマンドを実行したり、コードをコピーして貼り付けるよう求めるウェブページまたはプロンプトの指示に急いで従わないでください。攻撃者は、あなたの批判的思考をバイパスするために緊急性に依存しているため、即座の行動を促すページに注意してください。高度なClickFixページは、カウントダウン、ユーザーカウンター、または他の圧力戦術を追加して、迅速に行動するよう促します。
- 信頼できないソースからコマンドやスクリプトを実行しないでください。ウェブサイト、メール、またはメッセージからコピーされたコードやコマンドは、ソースを信頼し、その動作が何をするのかを理解していない限り、決して実行しないでください。
- 指示を独立して検証してください。ウェブサイトがコマンドを実行または技術的なアクションを実行するよう指示する場合は、進める前に公式ドキュメントを確認するか、サポートに連絡してください。
- コマンドのコピーと貼り付けを制限してください。コピーと貼り付けの代わりにコマンドを手動で入力することで、コピーされたテキストに隠されたマリシャスペイロードを無意識のうちに実行するリスクを減らすことができます。
- デバイスを保護してください。最新の、リアルタイムでアンチマルウェアソリューションをウェブ保護と共に使用してください。Malwarebytesはこのような不安全なサイトへの接続をブロックします。
- 進化する攻撃技術について自分自身を教育してください。攻撃が予期しない場所から来る可能性があることを理解することは、警戒心を保つのに役立ちます。私たちのブログを読み続けてください!
- 検索結果の検索広告から離れてください。誰でもそれらを購入し、合法的に見せることができます。
プロのヒント:無料のMalwarebytes Browser Guard拡張機能は、ウェブサイトがあなたのクリップボードに何かをコピーしようとするときに警告します。
脅威が害をもたらす前にそれを止めてください。
Malwarebytes Browser Guardは、フィッシングページと悪意のあるサイトを自動的にブロックします。無料、インストールするには1クリック。ブラウザに追加する→
