macOSターミナルをScript Editorに置き換えて、Atomic Stealerのペイロードを知らないMacユーザーに静かに配信する更新されたClickFixキャンペーン。
applescript://URLスキームを悪用することで、攻撃者はmacOS Tahoe 26.4のターミナルにおけるAppleの新しいペースト保護をバイパスしながら、同じ根本的な「クリックして修正」ソーシャルエンジニアリングパターンを保持します。
従来のClickFixチェーンは、偽のサポートまたは「システムクリーンアップ」ページに依存しており、ユーザーにコマンドをターミナルにコピーしてペーストするよう説得します。通常はパフォーマンスまたはストレージの問題に対する迅速な修正として提示されます。
AppleはmacOS 26.4でこれに対処し、ターミナルにペーストされたコマンドをスキャンするコントロールを導入し、この悪用パターンに対する摩擦を導入しました。
これに応じて、新しいキャンペーンは実行ポイントをScript Editorに移動させます。これはAppleScriptおよびシェル自動化用の信頼できるプリインストールmacOSツールです。
Jamf Threat Labs はJamf Protectの行動テレメトリを通じてこのアクティビティを検出しました。これは静的シグネチャのみではなく、疑わしい実行時アクションをフラグしました。
ブラウザによるトリガーされたScript Editorの起動
被害者は、「Macのディスク領域を回復するのに役立つ」というAppleブランドの偽のページに到達し、一見ルーチンなメンテナンス手順を案内されます。
静的および行動検出のその組み合わせは、最近のClickFixスタイルのルアーを通じて配信されるAtomic Stealerを含む進化するinfostealerアクティビティをサーフェスするのに効果的でした。
コマンドをターミナルにコピーする代わりに、ユーザーは「実行」ボタンをクリックするよう指示され、これはブラウザからapplescript://URLをトリガーします。
その後、ブラウザはScript Editorを開くように促し、「macOS Storage Optimization」ユーティリティを装った事前入力されたスクリプトがあり、キャッシュ、ログ、その他のクラッターを削除すると主張しています。
背後では、埋め込まれたURLはScript Editorに対して、AppleScript do shell script呼び出しを実行するように指示し、難読化されたcurl | zshコマンドを発火させます。
新しいmacOS Tahoeビルドでは、Script Editorは別の警告を追加する可能性があり、実行前にスクリプトを保存することを許可するようユーザーに要求しますが、単一の承認でもチェーンを続行するのに十分です。
実行されると、スクリプトは最終的にtrを通じてパスされた文字のジャンブルのように見えるシェルコマンドを実行します。
実行時には、trがエンコードされた文字列をdryvecar[.]com上の完全なURLにデコードし、その後curl -kSsfLでフェッチされ、メモリ内実行用にzshに直接パイプされます。
-kフラグはTLS証明書チェックを無効にし、オペレーターがチェーンを中断することなく信頼できない、または誤って構成されたインフラストラクチャを使用することができます。
フェッチされたスクリプトには、base64およびgzip(またはいくつかのバリアントではbunzip2)でラップされた2番目のステージペイロードが含まれており、ヒアドキュメントおよびgunzipを使用してデコードされ、その後eval'dされます。
解凍されると、Mach-Oバイナリを/tmp/helperにhttps://dryvecar[.]com/cleaner3/updateからダウンロードし、xattr -cで拡張属性をストリップし、実行可能にマークしてそれを実行する短いスクリプトに解決されます。
Jamfは、このバイナリを最近のAtomic Stealer(AMOS)バリアントとして識別します。これはブラウザデータ、キーチェーンシークレット、および暗号通貨資産をターゲットにすることで知られるコモディティmacOS infostealerです。
セキュリティへの影響と防御
このキャンペーンは、小さな実装の変更がコアのソーシャルエンジニアリングを維持しながら特定のプラットフォーム保護をどのようにニュートラライズできるかを強調しています。
ターミナルペースト命令からScript Editor起動via applescript://に移行することで、オペレーターはペイロードロジックを再設計する必要なくAppleの新しいターミナルペーススキャンをバイパスします。
Script Editorの信頼できるステータスと良性の外観は、ユーザーがプロンプトをクリックする可能性をさらに増加させます。
Jamf Threat Labsはこのアクティビティに関連するインフラストラクチャおよびバリアントの追跡を続けており、Jamf Protectに行動検出を配信しています。
組織は、AppleScript ://スキームの使用を監視または制限し、可能な場合はScript Editorの使用を制限し、Jamf Protect Threat Prevention、Advanced Threat Controls、およびWeb Protectionを構成してブロックおよび疑わしい実行チェーンをレポートすることで、エクスポーズを減らすことができます。
以前のClickFixウェーブと同様に、ユーザーの認識は引き続き重要です。Script Editorを起動したり、「クリーンアップ」または「サポート」のためにスクリプトを実行するよう要求したりするWebページは、赤旗として扱うべきです。
