新種のmacOSマルウェア「ClickLock Stealer」が、ソーシャルエンジニアリングとプロセス強制終了を組み合わせることで同OSの防御機構を回避し、被害者から重要な情報を盗み出しています。
サイバーセキュリティ企業のGroup-IBは6月上旬にClickLock Stealerを発見しました。このマルウェアは少なくとも5月下旬から活動していたとみられます。研究者によると、これまでに33カ国で少なくとも100人のユーザーが標的となっており、その半数以上が欧州に集中しているとのことです。
このステーラーは、侵害したシステムからさまざまな種類のデータを収集するように設計されており、対象にはウェブブラウザ、暗号資産ウォレット、ウォレット拡張機能、パスワードマネージャー拡張機能が含まれます。さらに6つのブロックチェーンからアドレス情報を収集するほか、macOSのKeychain、FTP認証情報、シェル履歴も狙います。盗み出したデータはアーカイブファイルにまとめられ、Telegramボットへと送信されます。
Group-IBの研究者は、ClickLock Stealerがどのように拡散しているのかを断定できていませんが、攻撃者がSEOポイズニングやSNS投稿、あるいは侵害されたウェブサイトを利用して被害者を誘導し、Cloudflareの検証画面を装ったClickFix攻撃ページへ誘導している可能性があるとみています。
このページに到達したユーザーは、bashコマンドをコピーしてmacOSのターミナルに貼り付け、実行するよう指示されます。コマンドが実行されると、オーケストレーター役のスクリプトファイルがダウンロード・実行され、さらにこのスクリプトが認証情報ステーラー、暗号資産ステーラー、Keychainステーラー、バックドアインストーラーという4つの追加スクリプトを取得します。
バックドアは侵害された端末上に残り続けますが、それ以外のスクリプトは標的のデータを収集して攻撃者へ送信した後に削除されます。
macOSは設計思想と組み込みの防御機構によって、マルウェアの展開が難しくなっています。しかしClickLock Stealerは、被害者自身が自らの権限でマルウェアをダウンロード・実行してしまうというソーシャルエンジニアリングによって、主にこの防御を突破しています。他のマルウェアとは異なり、エクスプロイトや権限昇格を必要としません。
標的データにアクセスするため、このマルウェアは強引なプロセス強制終了ループを利用します。オーケストレーターのコンポーネントは偽のmacOSダイアログを表示してユーザーのパスワードを盗み取ろうとし、画面上にパスワード入力ウィンドウだけが表示され続けるよう、表示中のプロセスをすべて強制終了します。これは被害者が入力に応じるまで続きます。
Group-IBはClickLock Stealerについて解説したブログ記事の中で、次のように説明しています。「バックグラウンドのループ処理により、macOSのNotificationCenterも約6時間にわたって継続的に強制終了され続けます。これにより、被害者に異常を知らせる可能性のあるGatekeeperやセキュリティ警告が抑制されます」
他のコンポーネントも、被害者が攻撃の分析や妨害に使う可能性のあるアプリケーションを積極的に終了させます。認証情報ステーラーのコンポーネントも偽のmacOSパスワードダイアログを表示し、他のアプリケーションが終了させられている間、長時間のループでこのダイアログを開いたままにすることで、被害者にパスワード入力を強要します。
マルウェアが、パスワードなどのブラウザデータを保護するChrome Safe Storageの暗号化キーを取得しようとmacOSのKeychainに問い合わせると、ユーザーにはその操作を許可するかどうかの確認が表示されます。ここでも、ユーザーが応じてKeychainへのアクセスが許可されるまで、すべてのプロセスが強制終了され続けます。