ハッカーがGoogle広告とClaude AIチャットを悪用、macOSの認証情報と暗号資産ウォレットを窃取

脅威アクターがGoogle広告とAnthropicのClaude共有チャット機能を悪用し、macOSユーザーを標的にMacSync Stealerを配布していたことが分かりました。

Zero-dayexploit detection

攻撃者はClickFixと呼ばれるソーシャルエンジニアリング手法を使い、認証情報、ブラウザデータ、クラウドキー、機密ファイル、暗号資産ウォレットの窃取を狙っていました。

Zscaler Threat Huntingの報告によると、このキャンペーンは2026年6月12日から6月19日にかけて展開されており、同社がAnthropicに通報した後、悪用されたClaudeチャットにはアクセスできなくなったとのことです。

Google広告とClaude AIチャットでmacOSの認証情報を窃取

このキャンペーンは、ユーザーがGoogleで「Claude download」「Claude AI」「Claude code」「Claude Mac」といった語句を検索したことから始まります。攻撃者は広告を購入し、被害者を正規のClaude共有チャットURLへリダイレクトしていました。コンテンツが公式のClaudeドメイン上でホストされているため、強い信頼感を演出できたわけです。

このチャットには「Shared by Apple Support」というブランディングが施されていたとみられ、これはおそらく攻撃者が操作した表示名によるものです。訪問者に対し、Claudeのインストールや修復のためとしてターミナルコマンドを貼り付けるよう指示していました。

この攻撃は一般的な悪意あるアプリケーションを配布するのではなく、ClickFixという手法に依存しています。この手法は、被害者に手動でコマンドを貼り付けて実行させるよう仕向けるものです。

Image

このコマンドはcurlとBase64による難読化を使い、攻撃者のインフラから悪意あるシェルスクリプトを取得した上で、その出力を直接zshにパイプします。

最初のスクリプトはBase64でデコードし、gzipで解凍した第2段階のペイロードをevalで実行します。これにより、攻撃者は効率的な多段階の感染経路を確保しつつ、表面的な調査では最終的な着地先を隠すことができます。

第2段階のスクリプトは出力を/dev/nullにリダイレクトすることで可視化を抑制し、その後、ハードコードされたAPIキーを使って`/dynamic?txd=`エンドポイント経由で中核となるペイロードを取得します。

ダウンロードされたコンテンツはosascriptにパイプされます。この手法により、ペイロードがディスク上に残す痕跡を最小限に抑えられます。窃取が完了すると、マルウェアは収集したデータを`/tmp/osalogging.zip`にまとめ、10MB単位のチャンクに分割してHTTP PUTでアップロードします。アップロードに失敗した場合は最大8回まで再試行し、その後、フォレンジック調査での痕跡を減らすためアーカイブを削除します。

MacSync Stealerは、ユーザーデータへの広範なアクセスを狙います。Cookiesディレクトリへのアクセスを試み、それがブロックされた場合はユーザーの`.zshrc`ファイルを改変し、ターミナルが開かれるたびに永続化されるようにします。

また、偽の「Full Disk Access required!」というプロンプトを表示します。これによりmacOSの「セキュリティとプライバシー」設定を開かせ、より広範なデータ収集に必要な権限を被害者から取得しようとします。アクセス権が付与されると、マルウェアは永続化用のコマンドを削除した上でデータ窃取を実行します。

Securityaudit services

この情報窃取型マルウェアは、macOSのKeychainデータベース、ChromiumおよびGeckoのブラウザ認証情報のアーティファクト、パスワードマネージャー拡張機能のデータ、シェル履歴、SSH・AWS・Kubernetesの設定関連情報、Telegramデスクトップ版のファイル、さらにデスクトップ・ダウンロード・ドキュメントフォルダ内の文書をコピーします。

Image

マルウェアはWebベースの暗号資産ウォレットに関連する拡張機能を特に狙って探索します。デスクトップ版ウォレットアプリケーションのデータについては、それぞれ別のフォルダに収集します。

また、このマルウェアは偽のmacOSパスワード入力プロンプトも使って認証情報を取得します。さらに、システム、ハードウェア、グラフィックス、プロセス、アプリケーションに関する情報も収集します。

Zscalerは第3段階のAppleScript内にロシア語のコメントを確認しており、攻撃者がロシア語話者である可能性を示唆しています。

研究者らはまた、攻撃者が米国のローカルサービスを装った大規模なドメイン群を使用していることも観測しており、これはステージング用インフラをより不審に見えないようにする狙いがあるとみられます。

組織に対しては、既知の悪性ドメインをブロックするとともに、zsh上でのcurlコマンドの実行、.zshrcの改変、一時アーカイブの作成、macOSエンドポイントからの不審なHTTP PUT通信といった異常な挙動を監視することが推奨されています。

侵害指標(IOC)

種別 指標
第1段階の配布元 lasvegaslaminateflooring[.]com/curl/0e17984a73d0b1c9c7c3916d32c49c8937f2e42d4c72c543c82999463a507abb
中核ペイロードのエンドポイント lasvegaslaminateflooring[.]com/dynamic?txd=0e17984a73d0b1c9c7c3916d32c49c8937f2e42d4c72c543c82999463a507abb
ウォレット標的型ペイロード lasvegaslaminateflooring[.]com/ledger/0e17984a73d0b1c9c7c3916d32c49c8937f2e42d4c72c543c82999463a507abb
Ledger Live向けとみられるペイロード lasvegaslaminateflooring[.]com/ledger/live/0e17984a73d0b1c9c7c3916d32c49c8937f2e42d4c72c543c82999463a507abb
Trezor向けとみられるペイロード lasvegaslaminateflooring[.]com/trezor/0e17984a73d0b1c9c7c3916d32c49c8937f2e42d4c72c543c82999463a507abb
一時収集用アーカイブ /tmp/osalogging.zip
永続化の痕跡 ~/.zshrcの改変
検出名 HTML.Trojan.ClickFix; OSX.PWS.MacSync

注: IPアドレスおよびドメインは、誤って名前解決やハイパーリンク化されるのを防ぐため、意図的に無害化表記(例: [.])としています。再度有効な表記に戻す作業は、MISP、VirusTotal、あるいは自社のSIEMなど、管理下にある脅威インテリジェンスプラットフォーム上でのみ行ってください。

 脅威検知と迅速な調査を加速し、SOCを強化しませんか。 -> ANY.RUNをSOCに統合するはこちら

NetworkSecurity

翻訳元: https://gbhackers.com/hackers-use-google-ads-and-claude-ai-chats-to-steal-macos-credentials/

ソース: gbhackers.com