Sophosのフォレンジック専門家たちは、ClickFixの感染チェーンを通じてmacOSを標的とするMacSync情報盗難マルウェアが拡大している波状的なサイバー攻撃を記録しています。これらのキャンペーンは、ソフトウェアの脆弱性ではなく、人間心理に基づいており、ユーティリティをインストールするという名目の下で、被害者をターミナル内でコマンドを手動でペースト・実行するよう誘導しています。
アナリストたちは2025年の終わりから始まった3つの異なる攻撃波を詳述しています。11月には、悪質なペイロードが「ChatGPT Atlas」ブラウザとして偽装されました。無防備なユーザーはGoogle内のプロモーションリンクをたどり、偽造されたドメインに誘導され、その後ターミナルコマンドを実行するための指令が与えられました。スクリプトは悪意のあるアーキテクチャを体系的にダウンロードし、大胆にもシステムパスワードを要求しました。
12月までに、この戦略は複雑な仕掛けへと進化しました。悪者たちは本物のChatGPTページを兵器化し、一見無害な対話を拡散させました。これらの手段は、ユーザーを巧妙にGitHubそっくりに作られた偽造ドメインにリダイレクトし、再び悪意のある指令を実行するよう強要しました。
現在の年の2月に、MacSyncの新たな亜種が出現し、ベルギー、インド、米州全域の住民を確実に標的としました。この改善されたバリアントは動的なAppleScriptコンポーネントを活用し、揮発性メモリアーキテクチャ内でのみ実行されます。この洗練された操作は検出とフォレンジック分析の両方を大きく混乱させます。
コマンドが実行されると、悪質なスクリプトはコマンド・アンド・コントロール拠点と通信し、主要モジュールを取得し、フォレンジック痕跡を細心に消し去ろうとします。MacSyncは容赦なく認証情報、ローカルアーカイブ、macOSキーチェーンの神聖な内容、デジタルウォレットの暗号化シードフレーズを収集します。
デジタル略奪者たちは人工知能サービスに寄せられた深い公的信頼を積極的に悪用しています。これらのキャンペーンは、ユビキタスなユーティリティや開発ライブラリのインストーラーという外観の下に、InstallFixおよびGoogleFixと名付けられた戦略で、その悪意を巧妙に偽装しています。異なるシナリオでは、これらの直接的な攻撃は、AlienとRemcosを含む補助的な情報盗難マルウェアの系統を通じてWindowsアーキテクチャの支配に至ります。
Pillar Securityのテレメトリーによると、2026年2月から3月だけでも、開発ツールとAIサービスを標的とした少なくとも20の異なるキャンペーンが暴露されました。これらの攻撃の大部分は単数形でmacOSに焦点を当てており、このようなアーキテクチャのユーザーが、クラウドアクセス暗号キーやデジタル通貨ウォレットなど、素晴らしいデジタル資産を保有する可能性が指数関数的に高いという現実に基づいています。
KongTukeインフラストラクチャに対する深刻な精査が向けられており、これは侵害されたWordPressドメインを通じてこの悪意を拡散させています。悪質なJavaScriptはページアーキテクチャに直結され、ユーザーにPowerShellコマンドを実行させるか、架空のCloudflare検証をナビゲートさせるよう強要しています。これはその後、ModeloRATトロイの木馬の展開を中心とした、複雑な多段階感染の組み合わせを引き起こします。
フォレンジック専門家は、ClickFixの恐ろしい効果がターミナルベースのソフトウェアインストールの習慣的で正統的なパラダイムと不可分に結びついていることを強調しています。膨大な数の開発者はcurl | shのようなコマンドを日常的に使用しており、その結果、これらの悪意のある指令は疑いを引き起こさず、完全に標準的で平凡な慣行として現れます。
翻訳元: https://meterpreter.org/the-clickfix-trap-how-macsync-infostealers-hijack-the-developer-terminal/
