Appleは、ClickFix攻撃として知られるソーシャルエンジニアリングキャンペーンからユーザーを保護するため、macOS Tahoe 26.4で新しいセキュリティメカニズムを静かに導入しました。
この防御は、Terminalアプリケーションに貼り付けられる前に潜在的に有害なコマンドをインターセプトし、感染チェーンを断ち切ります。
ClickFix攻撃の方法論
ClickFixは、従来のセキュリティ境界をバイパスするために、ユーザーを騙して悪意のあるコードを手動で実行させるように設計された洗練されたソーシャルエンジニアリング手法です。
脅威アクターは、被害者に偽の人間認証テスト、エラーメッセージ、または偽造されたソフトウェアインストーラーを提示することがよくあります。
被害者は提供されたテキスト文字列をコピーして、macOS Terminalに直接貼り付けるように指示されます。
ユーザーがアクションを開始するため、オペレーティングシステムはコマンドを認可されたものとして扱い、標準的なセキュリティフィルターをバイパスすることを許可します。
コマンドが実行されると、通常はMacSync情報窃取マルウェアなどのマルウェアをダウンロードしてインストールします。
これらのペイロードは、Keychainデータ、ブラウザクッキー、ログイン認証情報、暗号資産ウォレットの詳細など、機密情報を収集するために設計されており、検出を回避するためにメモリ内で完全に実行されることがよくあります。
この成長する脅威に対抗するために、macOS Tahoe 26.4は貼り付けられたコマンドの実行を遅延させる機能を導入しています。
ユーザーがエンコードされたスクリプトやsudoコマンドなどの潜在的に危険なコマンドをコピーしてTerminalに貼り付けようとすると、システムはそのアクションをブロックします。
コマンドを実行する代わりに、macOSは目立つアラートダイアログを表示します。
警告は「可能性のあるマルウェア、貼り付けはブロックされました」と表示され、ユーザーのコンピューターが損傷を受けていないことを安心させます。
詐欺師がプライバシーを侵害するためにテキストの貼り付けを促すことが多いこと、そしてこれらの指示がウェブサイト、チャットエージェント、または電話から頻繁に来ることを指摘しながら、さらに説明しています。
ユーザーには、アクションを中止するためのプライマリ「貼り付けない」ボタンが提示され、正当な管理タスク向けのセカンダリ「とにかく貼り付ける」オプションが付属しています。
興味深いことに、Appleは公式なmacOS Tahoe 26.4リリースノートでこのTerminalセーフガードに言及していません。
文書化されたリリースノートは主に開発者ツールの更新、SwiftUIの修正、Intelベースのマックに対するRosettaサポートの今後の廃止に焦点を当てており、ClickFix対策をセキュリティコミュニティによって発見された未発表の機能として残しています。
この摩擦の層を追加することで、Appleは技術的スキルが低いユーザーが誤ってシステムを侵害することから保護することを目的としながら、高度なユーザーが必要なコマンドを実行することを許可しています。
翻訳元: https://gbhackers.com/apple-adds-clickfix-attack-warnings-in-new-macos-tahoe/
