Malwarebyteのレポートによると、macOSユーザーはCloudflareをテーマにした検証ページを使用してPythonベースの情報盗聴ツールを配布する新しいClickFixキャンペーンの標的になっています。
攻撃は、訪問者に合法的に見えるCloudflareの人間確認ページを提供する偽のCAPTCHAページで開始され、ターミナルでコマンドを貼り付けて実行するよう促します。
ClickFixと呼ばれるこの技術は、ユーザーをだまして自分のデバイス上で悪意のあるコマンドを実行させるためのソーシャルエンジニアリングに依存し、2024年8月以降広く使用されているため、主にWindowsユーザーに対する攻撃で利用されています。
しかし、1年以上にわたって、macOS向けにカスタマイズされた攻撃はますます説得力を増しており、Malwarebyteが観察したバリアントも同様です。
偽の検証ページは、macOSユーザーにターミナルを開いて、マルウェア実行をトリガーする偽の検証コマンドを貼り付けて実行するための具体的な指示を提供します。
被害者がコマンドを実行すると、リモートサーバーからBashスクリプトがフェッチされます。スクリプトは埋め込みペイロードをデコードし、第2段階のバイナリを一時フォルダに書き込み、その検疫フラグを削除して実行します。
スクリプトは、コマンドアンドコントロール(C&C)サーバーと認証トークンを環境変数として渡し、自身を削除してターミナルを閉じます。
スクリプトによってドロップされたバイナリはNuitkaを使用してコンパイルされたローダーです。コンパイラはPythonコードをネイティブバイナリに変換し、静的分析を難しくします。
実行時に、ローダーは埋め込まれたデータを解凍し、Infiniti Stealerマルウェアとして識別される最終ペイロードを起動します。
Pythonベースの情報盗聴ツールは、ブラウザの認証情報、Keychain情報、暗号通貨ウォレット、開発者ファイルに保存されたシークレット、および実行中にキャプチャされたスクリーンショットを対象としています。
データはHTTP POSTリクエストを通じてC&Cに送信されます。操作が完了すると、マルウェアはTelegramチャネルに通知を送信し、サーバーでクラックされるためにキャプチャされた認証情報をキューに入れます。
回避のため、Infiniti Stealerはランダム化された実行遅延に依存し、システムが既知の分析環境かどうかをチェックします。
「Infiniti Stealerは、ClickFixのようなWindowsで機能した技術がMacユーザーを対象にするために現在どのように適応されているかを示しています。また、Pythonをネイティブアプリにコンパイルするなど、より新しい技術を使用しており、マルウェアの検出と分析をより困難にします。このアプローチが効果的であることが証明される場合、このような攻撃がより多く見られる可能性があります」とMalwarebyteは述べています。
翻訳元: https://www.securityweek.com/cloudflare-themed-clickfix-attack-drops-infiniti-stealer-on-macs/
