- 研究者が、Based ApparelサイトでCloudflare CAPTCHAチェックに偽装したmacOS向けClickFixインフォスティーラーが配布されていることを発見
- 被害者はTerminalに悪意あるApplescriptコマンドを貼り付けるよう騙され、VirusTotalはこのマルウェアを汎用トロイの木馬/インフォスティーラーとして検出
- WordPress/WooCommerceおよびGhost CMSで構築されたこのサイトは、情報開示後にオフライン化され、今回の事件は進行中のClickFixキャンペーンにおけるGhost CMSの悪用と関連していることが判明
Based Apparelは、愛国的・保守的・言論の自由をテーマにしたグッズを販売するアメリカのオンライン衣料品会社だが、ClickFix手法を通じてマルウェアを配布するために侵害されていたとみられる。ただし、標的となったのはmacOSユーザーのみだった。
‘debbie’というハンドルネームの研究者は、Based ApparelがFBI長官カッシュ・パテルの共同創業によるものだとオンラインで読み、詳しく調べることにしたと述べた上で、調査結果をPC Magに開示し、その後Xに動画証拠を投稿した。
「ClickFix攻撃は、サイトを閲覧中にいきなり現れました」とDebbieはメールで述べた。「ざっと確認したところ、base64(バイナリ・テキスト変換)で二重に難読化された典型的なインフォスティーラーでした。ただ、Applescriptで書かれているのは興味深いですね。」
Ghost CMSとの関連は?
被害者は、Cloudflareが提供しているように見えるCAPTCHAページで人間であることを確認するよう求められた。この偽CloudflareサイトはBは「異常なウェブトラフィック」が検出されたと告げ、TerminalBを開いてページ上に表示されたコマンドを貼り付けることで人間であることを証明するよう求める。
このインフォスティーラーをVirusTotalで検査したところ、PC Magは27のアンチウイルスエンジンがトロイの木馬およびインフォスティーラーとして検出していることを確認した。これは、標的型攻撃向けにカスタム開発されたものではなく、汎用マルウェアであることを意味する。
Based Apparelはまだコメントを出していないが、現在同社のウェブサイトはオフライン状態となっている。本稿執筆時点では、サイトには「すぐに戻ります」というメッセージが表示されており、「改善作業中」であることが記されている。
このウェブサイトは、ストア機能にWordPress/WooCommerce、別サブドメインのニュースセクションにGhost CMSという、2つのコンテンツ管理システムで構築されているとみられる。
本日初めに、Ghost CMSの緊急度の高い脆弱性(2026年2月にパッチ適用済み)が700以上のドメインに対してClickFix攻撃を仕掛けるために悪用されていたことを報じた。
