- Group-IBが、新種のmacOS向けインフォスティーラー「ClickLock」を発見。パスワード入力画面をしつこく表示し続け、210ミリ秒ごとに主要アプリを強制終了させるという攻撃的なソーシャルエンジニアリング手法で被害者を屈服させる
- 認証情報を取得すると、ブラウザデータ、暗号資産ウォレット、パスワードマネージャーの登録情報、FTP設定、端末情報をTelegram Bot API経由で外部に送信する
- 2026年5月から活動しており、これまでに33カ国(大半は欧州)で確認されている。ClickFixキャンペーンを通じて拡散し、当初はセキュリティベンダーの検知をすり抜けていた
Group-IBのセキュリティ研究者が、主に欧州のmacOSユーザーを狙う新種のインフォスティーラーを発見しました。
ClickLockと名付けられたこのマルウェアは、本格的なマルウェアというよりも、被害者の端末にログインプロンプトをひたすら表示し続け、最終的に根負けして認証情報を入力させるという、いわば厄介なソーシャルエンジニアリングの仕組みに近いものです。
210ミリ秒ごとに端末上の主要アプリ(Finder、Dock、Terminalなど)を強制終了させ、端末を実質的に操作不能な状態に陥れます。それと同時にパスワード入力ダイアログを画面に表示し続け、被害者が認証情報を入力する以外に選択肢がない状況を作り出します。
欧州ユーザーを標的に
このループは3日間以上にわたって連続で続くよう設定されており、被害者が根負けするまで止まりません。
王国への鍵、つまり認証情報を手に入れると、マルウェアは動き出し、価値ある情報の窃取を開始します。
その対象には、主要ブラウザ(Chrome、Firefox、Brave など)のデータ、保存済みのログイン情報、Cookie、自動入力データなどのブラウザ情報、暗号資産ウォレットおよび拡張機能に関連するデータ、オフラインで解読可能な暗号化ウォレットボールトのデータ、パスワードマネージャーのデータ、EVM、Bitcoin、Solana、TRON、TON、Stacksにまたがってキャッシュされた暗号資産アドレス、シェル履歴、FileZillaのFTP設定と直近の接続先サーバー情報、そして基本的な端末情報が含まれます。これらはすべて.ZIPアーカイブにまとめられ、Telegram Bot API経由で外部へ送信されます。
Group-IBによると、このキャンペーンは少なくとも2026年5月から活動しており、すでに数カ月にわたって続いていることになります。ある研究者が6月上旬にこの亜種をVirusTotalに提出しましたが、最近まですべてのセキュリティベンダーの検知をすり抜けていたとGroup-IBは述べています。
これまでのところ、33カ国で確認されており、そのうち半数以上は欧州の国々だといいます。このマルウェアはClickFixによるソーシャルエンジニアリングキャンペーンを通じて拡散している可能性が高いとみられており、特定の脅威アクターとの関連はまだ確認されていません。