macOSユーザーを狙い、MacSyncインフォスティーラーを配信する新たなClickFixキャンペーンの波が到来し、脅威アクターのAppleデバイスへの対策が増加していることを示唆しています。
これらの攻撃は、ソフトウェア脆弱性の悪用よりもソーシャルエンジニアリングに大きく依存しており、ユーザーをmacOSターミナルで悪意のあるコマンドを手動で実行するよう騙しています。
ClickFixは、攻撃者が段階的な指示を提示し、被害者に結局的にマルウェアをインストールするコマンドをコピーして実行するよう説得する詐欺的な手法です。
攻撃は脆弱性の悪用ではなくユーザーとのやり取りに依存しているため、FIDO2のようなフィッシング耐性認証メカニズムなどの従来の保護措置は有効ではありません。
歴史的に、ClickFixキャンペーンは主にWindowsシステムをターゲットにしていました。しかし、研究者は2025年11月から2026年2月の間にmacOSユーザーのために特別に設計されたいくつかのキャンペーンを観察しました。
これらの作戦は、MacSyncインフォスティーラーを配信するために進化し続けるソーシャルエンジニアリング手法と複数の配信メカニズムを使用していました。
2025年11月の最初のキャンペーンの1つはGoogleの不正広告を使用していました。「ChatGPT Atlas」のような用語を検索したユーザーは、Google Sitesでホストされた悪意のあるページにつながるスポンサー検索結果に遭遇しました。
これらのページは正当なOpenAIブランドを模倣し、ユーザーがmacOS用の架空の「OpenAI Atlasブラウザ」をダウンロードするよう奨励しました。
被害者がダウンロードボタンをクリックすると、ターミナルを開いて複雑なコマンドを貼り付けるよう指示する指示が表示されました。
実行されると、コマンドはユーザーのmacOSパスワードを要求し、MacSyncインフォスティーラーを含むMachOバイナリをインストールする悪意のあるBashスクリプトをダウンロードしました。
ChatGPTの罠とGitHub
2025年12月に発見された2番目のキャンペーンは、より洗練されたソーシャルエンジニアリング戦略を導入しました。ユーザーを偽のウェブサイトにリダイレクトするのではなく、攻撃者は正当なChatGPTプラットフォームでホストされた共有会話にリンクされたスポンサー付きGoogle広告を使用しました。
これらの会話は、Macシステムをクリーニングまたは最適化するための有用な指示を提供しました。埋め込まれたリンクは、正当なソフトウェアインストールインターフェースをシミュレートするGitHubテーマのランディングページにユーザーをリダイレクトしました。
被害者は再び、MacSyncペイロードを静かにダウンロードするターミナルコマンドを実行するよう指示されました。
研究者は、攻撃者がキャンペーン効果を監視するために悪意のあるページ内に追跡インフラストラクチャを埋め込んでいることを発見しました。
隠されたstats.phpエンドポイントは、IPアドレス、地理的位置情報、タイムスタンプなどの訪問者情報を収集し、その活動を攻撃者が操作するTelegram botに直接報告していました。
テレメトリーは、デプロイ後数日以内に悪意のあるインストールページとの数千件のやり取りを明かしました。
追跡システムはユーザーが悪意のあるコマンドをコピーしたインスタンスをカウントし、すべてのやり取りが感染をもたらしたわけではありませんが、キャンペーンの到達範囲が大きいことを示していました。
2026年2月までに、研究者はMacSyncインフォスティーラーの大幅に強化されたバージョンを含むキャンペーンの新しい進化を観察しました。
スタンドアロンMachOバイナリとして配布された以前のバリアントとは異なり、更新されたマルウェアはセキュリティツールを回避するために設計された多段階ローダーアーキテクチャを使用しています。
ユーザーが悪意のあるターミナルコマンドを実行すると、Base64エンコード済みおよび圧縮されたスクリプトがコマンド&コントロール(C2)サーバーから取得されます。
スクリプトはバックグラウンドで静かに実行され、APIキーとトークンを使用して認証し、追加のAppleScriptペイロードを動的にダウンロードします。
これらのペイロードは、次を含む広範なデータ収集を実行します:
- ChromiumおよびFirefoxベースのブラウザーからのブラウザー認証情報、Cookie、自動入力データ、および閲覧履歴。
- macOSキーチェーンデータベース、SSHキー、AWSクレデンシャル、およびKubernetes構成データ。
- デスクトップ、ドキュメント、ダウンロードディレクトリから機密の拡張子を含むファイル。
- 暗号資産ウォレットおよびブラウザー拡張機能からのデータ。
- Telegram Desktopデータおよび Safari Cookie。
収集されたデータはZIPアーカイブにパッケージ化され、攻撃者インフラストラクチャにチャンク単位で外部流出します。
マルウェアはまた、暗号資産ウォレットの復旧に使用されるシードフレーズを盗むために設計された悪意のあるコードを注入することで、Ledger Liveなどの暗号資産ウォレットアプリケーションを修正しようとします。
macOSユーザーへの増大する脅威
キャンペーンは、脅威アクターがソーシャルエンジニアリング方法とマルウェア配信技術の両方をいかに急速に適応させているかを示しています。
研究者は、ベルギー、インド、および北米と南米の一部を含む複数の地域で感染クラスターを観察しました。
セキュリティ専門家は、プラットフォームの市場シェアが増加するにつれて、macOSユーザーがインフォスティーラーおよび他のマルウェアファミリーでますますターゲットにされていることに注目しています。
ClickFix攻撃などの手法は、ソフトウェア脆弱性よりも人間の行動を悪用するため、ユーザー認識が重要な防御になります。
組織とユーザーは、ウェブサイトからの不明なターミナルコマンドの実行を回避し、ソフトウェアをダウンロードする前に検索結果を確認し、MacSyncなどのmacOSマルウェアバリアントを検出できるエンドポイント保護をデプロイすることをお勧めします。
セキュリティ製品は、研究者が進化する脅威の状況を監視し続けているため、OSX/InfoStl‑FQ、OSX/InfoStl‑FR、およびOSX/InfoStl‑FHを含む最新バリアントの検出署名をすでに追加しました。
翻訳元: https://gbhackers.com/clickfix-attacks-target-macos/
