Atomic StealerマルウェアをmacOSユーザーに配信する新しいキャンペーンが、Script Editorを悪用しており、これはユーザーにTerminalでコマンドを実行させるようにだまされたClickFix攻撃のバリエーションです。
Script EditorはmacOSに内蔵されたアプリケーションで、主にAppleScriptとJXAを含むスクリプトの作成と実行に使用され、ローカルスクリプトとシェルコマンドを実行できます。これはmacOSシステムにプリインストールされた信頼されたアプリケーションです。
これはマルウェア配信に悪用された最初のケースではありませんが、研究者らはClickFix社会工学技法の文脈では、被害者がTerminalと手動でやり取りしてコマンドを実行する必要がないと指摘しています。
Terminalベースのバリアントが広く報告されている一方で、macOS Tahoe 26.4はClickFix攻撃に対する保護をコマンド実行時の警告形式で追加しました。
Jamfのセキュリティ研究者が観察した新しいキャンペーンでは、Atomic Stealerを配信し、ハッカーはMacコンピューターのディスク容量を回復するためのガイドを装ったAppleをテーマにした偽のサイトで被害者をターゲットにしています。
これらのページには正規に見えるシステムクリーンアップの手順が含まれていますが、applescript:// URLスキームを使用して、事前に入力された実行可能コードを含むScript Editorを起動します。
悪意のあるコードは難読化された「curl | zsh」コマンドを実行し、システムメモリ内で直接スクリプトをダウンロードして実行します。
これはbase64 + gzipペイロードをデコードし、バイナリをダウンロードし(/tmp/helper)、「xattr -c」でセキュリティ属性を削除し、実行可能にして実行します。
最終的なペイロードはMach-Oバイナリで、Atomic Stealer(AMOS)として識別されます。これは広範に展開されてきた商用マルウェアアズアサービスで、ClickFixキャンペーンで過去1年間さまざまな誘い文句で使用されています。
マルウェアは広範な機密情報をターゲットにしており、Keychain、デスクトップ、ブラウザの暗号資産ウォレット拡張機能に保存されている情報、ブラウザの自動入力データ、パスワード、Cookie、保存されたクレジットカード、システム情報などが含まれます。
昨年、AMOSはまたバックドアコンポーネントを追加し、侵害されたシステムへの永続的なアクセスを提供しました。
Macユーザーは、Script Editorプロンプトをハイリスクとして扱い、それらが何をするのかを完全に理解し、リソースを信頼していない限り、デバイスで実行を避けるべきです。
macOSのトラブルシューティングガイドについては、Appleからの公式ドキュメントのみに依存することが推奨されます。
Apple Support Communities(Appleカスタマーがアドバイスでお互いを助けることができるフォーラム)ですが、リスクがないわけではありません。
