近月、ClickFixソーシャルエンジニアリング技術が顕著なマルウェア配信方法として浮上し、特にmacOSユーザーを標的にしています。ClickFixはシステムの脆弱性を悪用するのではなく、ユーザーとのインタラクションに頼っており、高度に 効果的な攻撃手法となっています。
最新の観測される傾向には、このような方法で配信される情報盗聴マルウェアであるMacSyncが関わっています。
過去3ヶ月間、ClickFixを利用した複数のキャンペーンが観測されており、攻撃者が防御を迂回し機密情報を収集するためにどのように戦術を継続的に進化させているかが示されています。
macOSユーザーを標的とするClickFixキャンペーンは、被害者を正当なソースに見せかけた悪意のあるウェブサイトへ誘い込むパターンに従っています。
最も注目すべきキャンペーンの1つは2025年11月に始まり、攻撃者はGoogleスポンサーリンクを使用して偽のOpenAI Atlasブラウザダウンロードを広告し、ユーザーに信頼できるプラットフォームと相互作用していると思わせました。
このおとりはフィッシングサイトにつながり、ユーザーにターミナルで悪意のあるコマンドを実行するよう促しました。これは典型的なClickFix手法です。これらのコマンドはMacSync情報盗聴マルウェアのインストールをトリガーし、被害者の許可で実行されました。
2025年12月、攻撃者は戦術を調整しました。ユーザーを直接ダウンロードページにリダイレクトする代わりに、ChatGPTテーマの偽のフォーラムを使用して自分たちを有用なガイドとして提示し、ユーザーをGitHubテーマのページから悪意のあるスクリプトをダウンロードするよう騙しました。
この巧妙な戦術は攻撃をより正当に見せかけ、通常は疑わしいダウンロードをブロックするGatekeeperやXProtectなどのmacOSセキュリティツールを回避しました。
2026年2月までに、MacSync情報盗聴マルウェアはさらに進化していました。最新のキャンペーンは多段階ローダーシステムを含み、マルウェアは最初にシェルスクリプトを使用してメモリ内で追加のペイロードをフェッチして実行しました。
このバージョンはメモリ内実行が可能でした。つまり、マルウェアはファイルシステムにトレースを残さずに実行でき、検出がより難しくなりました。これはSophosが報告したことです。
ClickFixキャンペーンの進化は懸念すべきトレンドを浮き彫りにしています。攻撃者はmacOSを高度な多段階マルウェアキャンペーンでますますターゲットにしています。
直接ダウンロードから動的ペイロード実行への転換は、オペレーティングシステムのセキュリティ機能に対する深い理解を反映しています。
ClickFix戦術と組み合わせたMacSync情報盗聴マルウェアは、マルウェアがますます検出を回避するために正当なツールとプラットフォームを使用しているため、特にmacOSユーザーにとって増大するリスクを表しています。
ユーザーは見知らぬウェブサイトとのインタラクションに注意し、未知のソースからのコマンドをコピーするのを避け、定期的にセキュリティソフトウェアを更新することをお勧めします。
セキュリティチームは行動検出に焦点を当てエンドポイントセキュリティ監視を強化することにより、これらの高度なソーシャルエンジニアリング攻撃から保護するために進化する脅威環境に適応する必要があります。
翻訳元: https://cyberpress.org/clickfix-delivers-macsync-infostealer/