ClickLockマルウェア:macOSユーザーを狙う巧妙な罠

ありふれたパスワード入力プロンプトが、あっという間にmacOSのデスクトップを危険な罠へと変貌させることがあります。実際、ClickLockという名の新種の悪質なプログラムが、オペレーティングシステムを完全に麻痺させます。そして、所有者が重要な認証情報を差し出すまで、あらゆる機能を執拗に停止させ続けます。Group-IBの脅威インテリジェンス専門家によると、この悪質なソフトウェアはこれまでに少なくとも100件の標的を侵害しています。さらに、これらの被害は5月以降、33カ国にまたがって確認されています。その結果、標的とされた対象者の半数以上がヨーロッパ在住者です。

謎に包まれたClickFix感染経路

研究者たちは、初期感染の正確な手法をいまだ特定できていません。サイバーセキュリティの専門家たちは悪質なファイルの一連のシーケンスを完全に入手することに成功しました。しかし、元となる偽の誘導サイトを発見するには至っていません。構造的に見ると、ClickLockのスクリプトは悪名高いClickFix手法と非常によく似ています。まず最初に、この手口はユーザーを騙して特定のコマンドをターミナルに貼り付けさせます。詐欺師たちは、この悪意ある行為を通常のCloudflareセキュリティ認証であるかのように偽装します。その直後、被害者の実際のアカウント名を表示した偽のシステムダイアログボックスが現れます。

盗まれた認証情報の検証

入力されたパスワードは、オペレーティングシステム自体によって認証されます。そのため、攻撃者は完全に機能する有効なログインデータのみを確実に入手できるのです。警戒心の強いユーザーがこの偽のウィンドウを閉じてしまった場合でも、スクリプトは単純に戦略を切り替えます。初回実行を終了する前に、密かに2つの異なるLaunchAgentファイルを生成するのです。その後、ユーザーが次にシステムへログインを試みた際に、完全な混乱が発生します。重要なアプリケーションが210ミリ秒ごとに繰り返しクラッシュし始めます。具体的には、Finder、Dock、Spotlight、ターミナル、アクティビティモニタ、そしてすべてのWebブラウザが強制終了します。

持続的なロックアウトとデータ窃取

その一方で、執拗なパスワード要求はデスクトップ上に恒久的に居座り続けます。同時に、隠密に動作するバックグラウンドプロセスが0.5秒ごとにキーチェーンへ執拗にアクセスを試みます。それは、非常に価値の高いChromeセーフストレージキーを狙っているのです。その結果、この激しい活動が正規のシステム確認プロンプトを引き起こします。こうした悪質な実行サイクルの一部は、35日近くも中断されることなく持続する場合があります。さらに、このマルウェアは重要なGatekeeperセキュリティ警告を隠すため、一時的に通知センター(NotificationCenter)を無効化します。

デジタル金庫の略奪

パスワードを取得すると、ClickLockは膨大な量の機密情報を容赦なく収集します。キーチェーンのデータ、保存済みのブラウザパスワード、認証クッキーを瞬時に抽出します。さらに、このマルウェアは暗号資産ウォレットファイルや専用パスワードマネージャーのリポジトリも略奪します。ターミナルのコマンド履歴や、FileZillaのFTP認証情報まで盗み取ります。最終的に、盗み出されたChromeセーフストレージキーが極めて危険な存在となります。これにより攻撃者は、自身の遠隔マシン上で盗んだデータを容易に復号できてしまうのです。

隠れたバックドアと検知回避の手口

さらに、このプログラムはGSocket技術を利用して密かな逆方向通信チャネルを確立します。主要なペイロードファイルを、無害なiCloudコンポーネントであるかのように巧妙に偽装します。同様に、実行中のプロセスも「SystemUIServerl」という偽名の下に隠します。中核となる実行モジュールは、侵害の直後にさまざまな痕跡を積極的に削除します。それでもなお、この秘密裏の通信チャネルは感染したマシン内に頑固に残り続けます。驚くべきことに、VirusTotal上のすべてのアンチウイルスエンジンが、この主要な制御スクリプトの識別に失敗しました。この憂慮すべき検知回避は、6月初旬の初期分析段階で確認されたものです。

防御策と対処方法

Group-IBは現在、ClickLockを進化を続ける未完成のデジタル兵器と位置づけています。最新のmacOS 26.4は、不審なターミナルへの貼り付けに対して厳格な警告を発します。しかし、それでもユーザーが手動でこれらの保護機能を無効にし、コマンドを実行することは可能です。さらに、オペレーティングシステムが自動的にブロックするのは、既にカタログ化され認識済みのマルウェア脅威のみです。したがって、ユーザーは予期しないシステムの挙動に対して、細心の注意を払う必要があります。パスワードプロンプトと同時にアプリケーションが突然クラッシュした場合、絶対に認証情報を入力してはいけません。

緊急対応手順

専門家は、侵害されたMacをハードウェア強制シャットダウンすることを強く推奨しています。その後、直ちにセーフモードでマシンを起動してください。すべての有効なブラウザセッションを体系的に無効化し、保存されているすべてのパスワードを変更する必要があります。したがって、すべてのクッキー、ウォレットキー、暗号化された機密情報は完全に漏洩したものとみなす必要があります。最後に、管理者はシステム内に異常なファイルがないか厳密に調査すべきです。具体的には、iCloudsyncディレクトリ内に潜む不審な痕跡を捜索し、「SystemUIServerl」プロセスが動作していれば終了させてください。

翻訳元: https://meterpreter.org/clicklock-macos-malware/

ソース: meterpreter.org