新たに確認されたmacOS向けスティーラーは、ClickFix特有の「コマンドを貼り付けさせる」ソーシャルエンジニアリング手法と、被害者がパスワードを差し出すまでマシンを使用不能にする強要ルーチンを組み合わせていることが分かりました。
Group-IBが6月16日に公開した新たな調査結果によると、ClickLock Stealerと名付けられたこのマルウェアは、約2カ月間で33カ国の少なくとも100人の被害者を攻撃しており、その半数以上が欧州に集中しているとのことです。
最初のサンプルは6月9日にVirusTotalへアップロードされましたが、その時点では検知数はゼロでした。
macOSを狙うClickFixの関連記事はこちら: Atomic StealerのmacOS向けClickFix攻撃、Appleのセキュリティ警告を回避
モジュール式の攻撃チェーン
攻撃は、被害者がGroup-IBがClickFixのページと見られるものからコマンドをターミナルに貼り付けることで始まります。オーケストレータースクリプトはカーソルを非表示にし、偽のCloudflareプログレスアニメーションを表示しながら、2つの改ざんされたWordPressサイトから4つのコンポーネントをダウンロードします。
このうち2つのツールが認証情報の窃取を担当します。Keychainスティーラーは、Chromeが保存するCookieやパスワードをオフラインで復号するためのAES鍵である「Chrome Safe Storageキー」をmacOSに問い合わせます。認証情報モジュールはAppleScriptで偽のパスワードダイアログを表示し、入力されたパスワードをローカルのディレクトリサービスと照合することで、正しいパスワードのみが攻撃者の手に渡るようにしています。
3つ目のモジュールは暗号資産を狙うもので、MetaMaskやPhantomを含む30種類以上のウォレット拡張機能を調べ、LevelDBストレージから暗号化されたボルトのフィールドを抽出します。
4つ目のモジュールは、オープンソースのリバースシェルツールであるGSocketをインストールします。元のコードの約80%をそのまま流用しており、macOS上ではiCloudのプロセスに偽装しています。
被害者に応じさせるための強要
被害者が最初のプロンプトでパスワードを入力すると、攻撃者にはそのパスワードとシステムのフィンガープリントが送られます。被害者がキャンセルした場合、オーケストレーターは2つのLaunchAgentをインストールし、次回のログイン時に両方の認証情報モジュールが再起動されるようにします。
続いてキルループが起動し、Finder、Dock、ブラウザ、ターミナル、アクティビティモニタを最大83時間にわたって短い周期で強制終了し続けます。同時にKeychainモジュールも同様のパターンを適用し、本物のmacOS Keychainダイアログでの承認を強要します。
並行して動作する別のループは、約6時間にわたってNotificationCenterを強制終了し、Gatekeeperの警告を抑え込みます。データの窃取はすべてTelegram経由で行われ、専用のコマンド&コントロール(C2)は使用せず、3つのボットのみが使われます。各モジュールはタイムスタンプを偽装したうえで自ら削除され、後に残るのはGSocketのバックドアだけです。
今回の調査結果は、macOS向けスティーラーを取り巻くエコシステムの大きな変化とも重なります。Atomic macOS Stealer(AMOS)ファミリーは2025年7月に組み込み型のバックドアを新たに搭載し、Jamf Threat Labsは今週、署名済みのドロッパーを使ってGatekeeperを無効化するCrashStealerを文書化したばかりです。
Group-IBは、ターミナルへのコマンド貼り付けを指示してくるウェブサイトはすべて攻撃の試みとみなすべきだと呼びかけています。また、デスクトップ上で突然アプリケーションが次々と強制終了され始めた場合は、パスワードを入力するのではなく、強制シャットダウンしてセーフモードで起動するよう推奨しています。
翻訳元: https://www.infosecurity-magazine.com/news/clicklock-macos-stealer-clickfix/