crosoftonline[.]com/login.srf のMicrosoftログインを装うフィッシングキャンペーンが、macOSのクラウドストレージに偽装したClickFixの誘導ページ macclouddrive[.]com/s2/ へリダイレクトする。
被害者はターミナルコマンドを貼り付けるよう騙され、Gatekeeperを回避して、Mac.c から進化した低コストの Malware-as-a-Service(MaaS)情報窃取マルウェア「MacSync」を展開する。初出は2025年4月で、「mentalpositive」によりリブランドされた。
この多段階ツールはZshローダーをデーモン化し、AppleScriptペイロードを取得して実行する。永続的な偽ダイアログでシステムパスワードをフィッシングした後、ブラウザ認証情報、暗号資産ウォレット、Keychainデータ、Telegramセッション、各種設定を窃取する。
永続化のため、LedgerやTrezorなどのElectronベースのハードウェアウォレットアプリを選択的にトロイの木馬化し、PINや24語のリカバリーフレーズを狙うフィッシングウィザードを注入する。
最近の亜種では進化が見られる。Jamfは、コード署名されたSwift製ドロッパーが Gatekeeper をユーザー操作なしで回避し、インターネット接続を確認し、レート制限(3600秒間隔)を行い、-fL -sS –noproxy のように分割したcurlフラグでペイロードをデコードする公証済みアプリを用いると報告している。
古いClickFixも jmpbowl[.]xyz のC2経由で依然として活動しており、ロシア語のHTMLコメントが攻撃者の出自を示唆している。
AppleScriptは /tmp/osalogging を作成し、「システム環境設定」のループ(「ОК」ボタン、dscl認証)でパスワードをフィッシングする。ハンドラ GrabFolder()/GrabFolderLimit(100MB) の標的:
一部の亜種は /tmp/salmonela.zip と、X-Bidヘッダーを用いる meshsorterio[.]com のC2を使用する。
/Applications/Ledger Wallet.app または Trezor Suite.app を標的にする:
偽ウィザード: 「問題が発生しました…」→ PINグリッド → 24語フレーズ、JS/IPC経由で流出させる。EIP-6963のdAppハイジャックも追加する。
翻訳元: https://cyberpress.org/macsync-hijacks-macos-terminals/