攻撃者は信頼されたチャネルや認証済みプロフィールを悪用し、ソーシャルエンジニアリングキャンペーンの効果を増幅させています。X(旧Twitter)上で最近確認されたClickFix型の攻撃事例は、こうしたリスクを如実に示しています。
この広告は被害者を偽装ドメイン「dynamicmacisland[.]com」へ誘導し、ターミナルを開いてクリップボードのコマンドを貼り付けるよう指示していました。一見些細に見えるこの手順によって、Atomic Stealer情報窃取マルウェアの亜種を含むmacOSマルウェアが密かにインストールされてしまいます。
今回の攻撃は、3つの憂慮すべき傾向を組み合わせています。第一に、ClickFix型のソーシャルエンジニアリングは、ユーザー自身にインストールさせる手口を今も踏襲している点です。被害者はクリップボードからコピーしたターミナルコマンドを実行するよう誘導され、事実上ユーザー自身がインストーラーの役割を担わされてしまいます。
第二に、攻撃者は人気のあるMac用ユーティリティになりすまし、説得力のある偽装ドメインとUI表示を用いることで、信頼をベースにした行動を引き出す可能性を高めています。
第三に、攻撃者は有料広告と認証済みアカウントという信頼のシグナルを悪用し、拡散力と信頼性を高めています。これは、認証バッジやスポンサー広告枠の掲載が必ずしも安全性の指標にならないことを物語っています。
この悪意ある広告はXに報告され、Jamfがプラットフォームおよびアカウント所有者に警告した後、削除されました。しかしこの事案は、脅威アクターが広告エコシステムを悪用し、自動審査をすり抜けている実態を浮き彫りにしています。
今回のキャンペーンで配布されたペイロードは、macOS上で過去にも確認されている情報窃取型マルウェアファミリーであるAtomic Stealerの複数の亜種でした。
Jamf Threat LabsがCyberpressと共有したレポートで述べたところによると、認証済みXアカウントから投稿されたスポンサー広告は、macOSユーザーを、AppleのDynamic Islandを模倣した正規ユーティリティ「DynamicLake」の偽ダウンロードページへと誘導していました。
Atomic Stealerは、認証情報やブラウザに保存されたデータなど機密性の高い情報を窃取し、感染後のアカウント乗っ取りや二次的な詐欺行為を可能にします。
今回のキャンペーンは、Google広告など他の広告チャネルが偽インストーラーを宣伝しマルウェアを配布した過去の事例と重なるものです。こうした事例は、攻撃者が検知を回避するよう作り込んだコンテンツを用いれば、広告主の審査システムが騙されたり回避されたりし得ることを、セキュリティチームに示す証拠として指摘されてきました。
ClickFixによるmacOSの悪用と並行して、WindowsおよびクラウドユーザーはConsentFixと呼ばれる、一見単純な新たな手口に直面しています。
ローカルでのコード実行を促すClickFixとは異なり、ConsentFixはブラウザの挙動とOAuthフローを操作することで、被害者にパスワードを入力させたり多要素認証を発動させたりすることなく、有効なセッショントークンを攻撃者に渡させてしまいます。
典型的なConsentFixの攻撃チェーンは、Dropboxなど信頼されたサービス上でホストされた一見無害なリンク、あるいは自動スキャナーを阻むためにパスワードで保護されたリンクから始まります。そこから被害者は、偽装されたMicrosoftサインイン画面へと誘導されます。
その後、被害者はローカルのコールバックリンクをブラウザにドラッグするよう指示されます。この操作によってOAuth形式の認可が完了し、攻撃者はMicrosoft 365サービスへアクセスするために必要なトークンを手に入れてしまいます。
セキュリティ研究者やインシデント対応者は、ConsentFixが数秒でアカウント乗っ取りを可能にし、すでにサイバー犯罪フォーラムで共有されていることで、悪用の技術的なハードルが大幅に下がっていると警鐘を鳴らしています。
被害者が認証情報を入力したり多要素認証を無効化したりすることがないため、従来のセキュリティ意識向上トレーニングや単純なフィッシング対策チェックでは、こうした手口を見抜けない可能性があります。
防御態勢の改善は、単純ながらも不可欠です。セキュリティチームは、ブランドのキーワードを利用した偽装ドメインや不正広告を積極的に検出するなど、広告監視とブランド保護の管理を強化する必要があります。
macOSのエンドポイント保護は、インストール後の不審な挙動や既知の情報窃取マルウェアを検知できるよう設定しなければなりません。クラウドアカウントについては、トークンの有効期限を制限し、デバイスやネットワークのコンテキストを要求し、異常な同意やトークン利用を監視する条件付きアクセスポリシーが、ConsentFix型の悪用を抑制する助けとなります。
最後に、ユーザー教育も進化させる必要があります。任意のターミナルコマンドを貼り付けないこと、見慣れないブラウザのドラッグ&ドロップ要求には疑問を持つこと、そしてスポンサー付きまたは認証済みのソーシャル投稿であっても懐疑的に扱うことを、ユーザーに周知徹底すべきです。
翻訳元: https://cyberpress.org/verified-x-ads-to-deliver-mac-malware/