認証済みXスポンサー広告がMac向けマルウェアを拡散、ConsentFixがMicrosoft 365アカウントを乗っ取り

認証済みXのスポンサー広告を通じて拡散されたMac標的のClickFixキャンペーンと、従来型のマルウェアを使わずにMicrosoft 365のセッショントークンを窃取するConsentFixと呼ばれる新手のブラウザベース乗っ取り手法が確認されました。

JamfとMalwarebytesの研究者は、認証済みアカウントが「DynamicLake」と称するmacOS向けユーティリティ(正規のDynamic Islandユーティリティのなりすまし)を宣伝するスポンサー広告を出稿していたXでのインシデントを追跡しました。

この広告は訪問者を偽装ドメインのdynamicmacisland[.]comへ誘導し、ターミナルを開いてクリップボードにあるコマンドを貼り付けるよう指示しました。ユーザーがこの操作を一度実行するだけで、Atomic Stealer関連のインフォスティーラー系マルウェアが密かにインストールされる仕組みです。

このキャンペーンでは、3つの手法が組み合わされています。ユーザーにターミナルコマンドの実行を求める巧妙なClickFix型のソーシャルエンジニアリング、信頼されているアプリを模倣した視覚的に本物そっくりのなりすましドメイン、そして認証バッジによって信頼性を持たせつつリーチを拡大する有料広告です。

この攻撃が注目に値するのは、認証済みアカウントのステータスや有料掲載といった、プラットフォームが提供するシグナルそのものに対するユーザーの信頼を悪用している点です。

従来のClickFixキャンペーンは、偽の「人間確認」フローに依存していました。今回の手法は、こうしたソーシャルエンジニアリングに、ユーザー自身がターミナルを明示的に起動するために多くのエンドポイント保護をすり抜けてしまう、macOS特有のコマンドラインインストールを組み合わせています。

その結果、悪意のある添付ファイルやドライブバイ攻撃を使わずに、macOS向けインフォスティーラーを効果的に配布できてしまいます。

Jamfによる情報開示とその後の広告テイクダウンは、攻撃者が一見無害に見えるクリエイティブを作成し、正規の広告配信パイプラインを標的にすれば、プラットフォームの審査や自動広告スクリーニングも回避できてしまうことを浮き彫りにしています。

JamfがGBhackersに提供したレポートで述べたところによると、これと並行して、WindowsおよびクラウドのユーザーはConsentFixという脅威に直面しています。これはマルウェアやパスワード窃取を必要としない、洗練されたMicrosoft 365アカウント乗っ取り手法です。

BleepingComputerが報じ、インシデント対応者が分析したところによると、ConsentFixはブラウザとOAuthフローを操作することで、被害者が意図せずセッショントークンを渡してしまう仕組みになっています。

最初の誘導は、多くの場合Dropboxのような信頼されたサービス上でホストされ、自動検査を回避するためにパスワード保護されていることもあるリンクで、本物そっくりのMicrosoftサインインプロンプトを表示します。

Image

その後、ユーザーはローカルホストのコールバックリンクをブラウザにドラッグするといった、一見不自然ながらもっともらしい操作を実行するよう指示されます。

数秒以内に攻撃者はコールバックトークンを受け取り、被害者が認証情報を入力することもMFAを回避することもないまま、OneDrive、Teams、その他のOffice 365サービスにアクセスできてしまいます。

ConsentFixが危険なのは、標準的なセキュリティ意識向上の防御策を無力化してしまう点です。ユーザーはパスワードを入力せず、ソフトウェアをインストールせず、従来型のポリシーアラートもトリガーされません。

セキュリティ製品とサービス

この手法はすでにロシア語圏のサイバー犯罪フォーラムで出回り始めており、経験の浅い脅威アクターでも実行できるようハードルを下げているため、被害件数の増加が見込まれます。

こうした脅威への防御姿勢には、技術面と行動面の両方の対策が必要です。エンドポイントでは、クリップボードを利用したインストールパターンを制限・監視し、macOS向けにアプリケーションの許可リストやカーネル拡張・API制御を適用してください。

クラウド環境では、条件付きアクセスポリシーを強化し、トークンの有効期限に制約を課すとともに、異常なOAuth同意やトークン発行イベントを監視してください。

人的な対策としては、予期しない確認手順やブラウザでのドラッグ&ドロップ操作を危険信号として扱うよう従業員を教育し、サードパーティのプラットフォーム上でホストされる短命またはパスワード保護されたリンクを慎重に精査し、行動を起こす前に独立した経路で広告やSNS投稿の真偽を確認することが求められます。

これらのインシデントは、認証バッジや有料掲載、見慣れたサインイン画面といったプラットフォーム側のシグナルが正当性を保証するものではないという重要な教訓を改めて示しています。セキュリティチームによるリンクレベルの精査、プラットフォームによるより厳格な広告審査、そして迅速な通報体制が依然として不可欠です。

翻訳元: https://gbhackers.com/verified-x-sponsored-ad-spreads-mac-malware/

ソース: gbhackers.com