ClickLockと名付けられた新たなmacOS情報窃取型マルウェアは、画面上のすべてのプロセスを強制終了させることで、ユーザーにシステムのログインパスワードを入力させようとします。
このマルウェアは、暗号資産、ログイン認証情報、パスワードマネージャーのデータ、ブラウザ情報、macOS認証データを盗み出すよう設計されており、感染システムへの継続的なリモートアクセスを可能にする永続的なバックドアをインストールすることもできます。
Group-IBの研究者は、VirusTotal上でこのマルウェアを発見した後、ClickLockのシェルスクリプトを解析しました。このスクリプトが最初に投稿されたのは6月9日で、レポート作成時点ではプラットフォーム上のすべてのセキュリティベンダーで検知されない状態でした。
さらに調査を進めたところ、この悪意あるスクリプトは5月以降、33カ国で少なくとも100台のシステムに感染していたことが判明しました。
研究者らがターミナル上で確認したのは、偽のCloudflare「人間確認」シーケンス(アニメーション付きプログレスバー)を引き起こす悪意あるコマンドの貼り付けで、侵害はこうしたClickFixの手口を通じて始まっている可能性が高いとみられます。
同時に、キーボード割り込みが無効化され、ターミナルのカーソルが非表示になり、バックグラウンドでは情報窃取モジュールがダウンロードされます。
macOSのNotificationCenterも約6時間にわたって抑制され、攻撃の発覚につながりかねない通知を実質的に無効化します。

パスワード入力の強要
Group-IBの研究者らは、ClickLockが特別なエクスプロイトや権限昇格を必要とせず、ソーシャルエンジニアリングと強制的な操作ループによって目的を達成する点を指摘しています。
この攻撃が成功するかどうかは、被害者にmacOSのシステムパスワードを入力させる仕組みにかかっています。
Group-IBによると、このスクリプトはまず、被害者の実際のユーザー名とダウンロードしたApple社のアイコンを使い、偽のmacOSパスワード入力ダイアログを表示します。
ユーザーがパスワードを入力すると、マルウェアはそのデータを検証したうえで、Telegram経由で攻撃者に送信します。
ユーザーがダイアログをキャンセルした場合、マルウェアは2つのmacOS LaunchAgent(com.authirity.plist、com.chromer.plist)を介して永続化を図り、次回ログイン時に再度実行されます。
次回の起動時には、パスワード窃取モジュールが210ミリ秒ごとに終了ループを実行し、主要アプリ(Finder、Dock、ターミナル、アクティビティモニタ、コンソール、システム設定、Spotlight、各種ウェブブラウザなど)を標的にします。そして被害者が入力に応じるまで、画面にはパスワードダイアログのみが表示され続けます。
攻撃者に先んじて、すべての防御層をテストする
セキュリティチームが記録できているのは、成功した攻撃のうち54%に過ぎず、実際にアラートが上がるのはわずか14%です。残りは環境内を検知されないまま通過しています。
Picus社のホワイトペーパーでは、侵害・攻撃シミュレーション(breach and attack simulation)がSIEMやEDRのルールをどのようにテストし、脅威の検知漏れを防ぐかを解説しています。