ハッカーが「ClickLock Stealer」と名付けられた新たに発見されたインフォスティーラーを使い、Macユーザーを積極的に標的にしていることが判明しました。エクスプロイトや権限昇格を必要とせず、ペーストして実行させるソーシャルエンジニアリング手法によって、Appleのネイティブなセキュリティ保護機能を回避します。
ハッキングとクラッキング
macOSにはGatekeeper、Transparency、Consent、and Control(TCC)、System Integrity Protection(SIP)、コード署名の必須化といった保護機能が備わっているにもかかわらず、脅威アクターはAtomic Stealer(AMOS)、Banshee、Poseidon、Cuckoo、Cthulhu、MacStealerといったモジュール式スティーラーの展開を増やしています。
ClickLockは、ClickFix型の配布手法と、ユーザーに強制的に従わせる「ロッカー」的な挙動を組み合わせた、このエコシステムにおける新たな進化形です。
このマルウェアは、2026年6月9日にVirusTotalへアップロードされた悪意あるシェルスクリプトの中で初めて確認されました。発見当時の検出数はゼロで、その新規性と回避能力の高さがうかがえます。
研究者らは高い確度で、この配布手法がClickFixフィッシングページ、すなわちブラウザ検証を装ってユーザーにターミナルコマンドをコピー&実行させる偽の認証ポータルに依存していると評価しており、多くの場合Cloudflare CAPTCHAの手順を模倣しています。
この手法は、MicrosoftやMalwarebytesがこれまでに報告してきた、偽のmacOSユーティリティや検証プロンプトを用いたキャンペーンと共通しています。
正確な感染経路はまだ確認されていませんが、SEOポイズニング、侵害されたWordPressサイト、SNS経由のフィッシング誘導などが有力な感染源と見られています。
このマルウェアのインフラは、panalobet[.]phのような侵害済みドメインと、コマンド&コントロールおよびデータ窃取に使われるTelegramボットに大きく依存しています。
攻撃は、認証情報スティーラー、Keychain抽出ツール、暗号資産データ収集ツール、GSocketベースのバックドアなど、複数のモジュールをダウンロードするメインスクリプトによって実行されます。
注目すべきは、各コンポーネントがメモリ上と隠しディレクトリの両方で実行され、検出を回避する点です。
このマルウェアの重要な特徴の一つが、ユーザーに強制的に従わせる実行モデルです。ユーザーが認証情報の入力を拒否すると、マルウェアはシステムプロセスを繰り返し強制終了させることで、事実上インターフェースをロックし、パスワード入力プロンプトのみを表示し続けます。
GBhackersと共有されたレポートの中でGroup-IBが述べているように、これはmacOSの脅威活動における大きな転換を示しています。攻撃の主要なベクトルはソフトウェアの脆弱性ではなく、ユーザーの操作そのものになっているのです。
ソフトウェア
この「ロッカー」機構により、システムの脆弱性を突かなくても、最終的には確実に認証情報が窃取される仕組みになっています。
このマルウェアはmacOSのセキュリティ通知を長時間にわたって抑制し、タイムスタンプを改ざんしてフォレンジック分析を妨害します。永続化はLaunchAgentsを通じて実現されており、初回の試行が失敗しても再起動後に再実行できるようになっています。
Macユーザーを狙うClickLock Stealer
ClickLock Stealerは、macOSのログイン認証情報、Keychainデータ、Chromeの暗号化キー、ブラウザに保存されたパスワード、暗号資産ウォレット情報など、幅広い機密データを標的にしています。
ClickLock Stealerは、被害者がmacOSのターミナルに悪意あるコマンドをペーストした時点で実行を開始します。スクリプトは、ユーザーの信頼を維持するために説得力のある進行アニメーションを伴った偽の「Cloudflare CAPTCHA Access Control」画面を表示します。
Chromiumベースのブラウザ、Firefox、そしてMetaMask、Phantom、Coinbase Wallet、Trust Walletなど30種類以上のウォレット拡張機能からの情報抽出に対応しています。
このマルウェアはさらに、Electrum、Exodus、Bitcoin Coreといったデスクトップ型ウォレットアプリケーションもスキャンし、シェル履歴やFTP認証情報も収集します。
抽出されたデータはアーカイブ化され、Telegramボット経由で外部へ送信され、攻撃者はブラウザデータをオフラインで復号し、持続的なアクセスを維持できるようになります。
オープンソースツールGSocketを改変したバージョンが、永続的なバックドアとして展開され、正規のシステムプロセスを装ったリバースシェルアクセスを提供します。
このバックドアは攻撃者が管理するインフラに接続し、実行後に自己削除する他のモジュールとは異なり、システムの再起動後も存続します。
コード解析の結果、オリジナルのGSocketデプロイスクリプトから約80%が流用されていることが判明しており、オープンソースツールの迅速な武器化がうかがえます。
Group-IBのテレメトリによると、このキャンペーンは2026年5月から活動しており、33か国で少なくとも100件の被害が確認されています。被害者の半数以上はヨーロッパに所在しており、北米、中東、アフリカでも活動が観測されています。
暗号資産ウォレットとパスワードマネージャーに標的を絞っていることから、金銭目的の作戦であり、高価値のデジタル資産を保有するユーザーを優先的に狙っていることがうかがえます。
ClickLock Stealerは、macOSの脅威モデルにおける重大な転換を浮き彫りにしています。攻撃者はもはや、完全な侵害を達成するためにゼロデイエクスプロイトや権限昇格を必要としないのです。
その代わりに、ユーザーの信頼とインターフェース操作を悪用することで、複雑な多段階攻撃を実行しています。
この攻撃の単純さを示す一例として、偽の検証ページを訪れたユーザーが「ボットではないことを証明する」ためにターミナルへコマンドをペーストするよう指示されるケースが挙げられます。
数秒のうちに、システムは無害に見える進行アニメーションを表示しながら認証情報の窃取を開始し、被害者は侵害されたことに気づかないままとなります。
敵対者がソーシャルエンジニアリング手法とモジュール式のステルス性の高いマルウェアアーキテクチャを組み合わせ、洗練させ続ける中、今回の発見は、macOS環境を防御する上でユーザーの意識向上と行動検知の重要性がますます高まっていることを改めて示しています。
アンチウイルスとマルウェア
𝗔𝗜 𝗦𝗢𝗖 𝘃𝘀 𝗠𝗗𝗥 𝘃𝘀 𝗠𝗦𝗦𝗣 2026年に最適なのはどれか? コスト、自動化、対応力を比較: 無料ガイドをダウンロード
翻訳元: https://gbhackers.com/clicklock-stealer-against-mac-users/