Group-IBの研究者らによると、ClickLock Stealerと名付けられた新たに確認されたmacOSマルウェアは、偽のCloudflare認証プロンプトとClickFix型のソーシャルエンジニアリングを悪用し、エクスプロイトや権限昇格を必要とせずにユーザーの端末を侵害しているとのことです。
このマルウェアは2026年6月に発見され、発見当時はVirusTotalでの検出数がゼロでした。これは、macOSを狙う脅威が欺瞞主導型の攻撃へとシフトしつつあることを浮き彫りにしています。
macOSマルウェアはWindowsを狙う脅威に比べれば依然として少数ですが、Atomic Stealer(AMOS)、Banshee、Poseidonといったマルウェアファミリーの存在は、特に暗号資産ユーザーや価値の高い認証情報を狙って、攻撃者のApple製品への関心が高まっていることを示しています。
ClickLock Stealerは、Cloudflareの CAPTCHA確認のような正規サービスを模倣したフィッシングページを通じて拡散されているとみられています。
被害者は、いわゆる「認証」手続きの一環として、macOSのターミナルにコマンドをコピー&ペーストするよう指示されます。
コマンドが実行されると、スクリプトは「Verifying you are not a bot(ボットでないことを確認しています)」といったメッセージを含む、Cloudflareの確認画面を模倣した説得力のあるターミナル上のアニメーションを表示します。
この視覚的な偽装は、裏側で進行する悪意のある処理を覆い隠す役割を果たします。この攻撃は脆弱性に依存するものではなく、ユーザーの信頼を悪用する点に特徴があります。
スクリプトはユーザーによる割り込みを無効化し、システム通知を抑制した上で、正規のもののように見せかけながら侵害されたWordPressサイトから複数のペイロードのダウンロードを開始します。
この攻撃の重要な特徴の一つが「ロッカー」手法です。ユーザーがパスワード入力を拒否すると、マルウェアはFinderやブラウザ、Activity Monitorといったシステムプロセスを繰り返し強制終了させ、実質的にシステムをロックして認証情報の入力を促します。これにより、システムの脆弱性を突くことなくユーザーに操作を強制します。
収集されたデータは圧縮された上でTelegramボット経由で外部に送信されるため、専用のC2(コマンド&コントロール)インフラを必要としません。
さらに、GSocketをベースとするバックドアは、正規のシステムプロセスを装うことで長期的なアクセスを確保します。
検出を回避するため、大半のコンポーネントは実行後に自己削除し、タイムスタンプを改ざんしてフォレンジック分析を妨害します。加えて、バックグラウンドで動作するループがmacOSのNotification Centerを数時間にわたって無効化し、セキュリティ警告を抑制します。
この感染チェーンが特に効果的なのは、複数のフォールバック機構を組み合わせている点にあります。
ユーザーが最初は拒否した場合でも、LaunchAgentsによる永続化機構により、次回ログイン時に攻撃が再開されます。もし早い段階で認証情報が入力された場合は、侵害は迅速かつ静かに完了するとGroup-IBは述べています。
セキュリティ研究者らは、検出において挙動ベースの指標が極めて重要だと強調しています。
不審な兆候としては、プロセスの繰り返しの強制終了、Keychainへの不正アクセスの試み、osascriptによって引き起こされるパスワード入力プロンプト、TelegramのAPIへの不審なアウトバウンド通信などが挙げられます。
注記: IPアドレスおよびドメインは、誤って名前解決やハイパーリンク化されることを防ぐため、意図的に無害化表記(例: [.])されています。再度有効な形式に戻す作業は、MISP、VirusTotal、あるいは自組織のSIEMなど、管理された脅威インテリジェンス基盤上でのみ行ってください。
より強固な予防的防御で、重大インシデントと金銭的損失を未然に防ぎましょう。15,000のSOCから得られたライブ脅威フィードを統合する
翻訳元: https://cyberpress.org/clicklock-stealer-cloudflare-trap/