macOSシステムを標的とするマルウェアキャンペーンがClickFix攻撃を使用して配布されており、従来のターミナルベースの実行ポイントではなく、スクリプトエディタを実行ベクトルとして悪用するように進化しました。
Jamf Threat Labsの研究者によって特定されたこのキャンペーンは、MacOSオペレーティングシステムを標的とするように特別に設計されたアトミックスティーラー(AMOS)というアトミックスティーラー(情報盗聴マルウェアおよびバックドア)を配信するように設計されています。
このキャンペーンは、ClickFix攻撃を通じてサイバー犯罪者がマルウェアをインストールするのを無意識のうちに支援している可能性があることをユーザーに警告するようになったApple OSアップデートへの直接的な対応のようです。
ClickFixは、偽の指示または検証メッセージを含むダイアログボックスを使用して、ユーザーを騙して自分のデバイスにマルウェアコードをコピー、貼り付け、実行させるソーシャルエンジニアリング手法です。
通常、ClickFix攻撃がmacOSを標的とする場合、トラブルシューティングまたはメンテナンスの名目でmacOSターミナルにコマンドを入力するようユーザーに促します。
その代わりに、この新しいAMOS変種はブラウザトリガーされたワークフローを使用してスクリプトエディタを起動し、ユーザーがコマンドを入力するよう促される場所です。
MacOSセキュリティ警告を回避する新しい方法
AppleはmacOS 26.4アップデートでClickFix攻撃に対抗しようとしました。ターミナルに貼り付けられたコマンドを実行前にスキャンし、ユーザーにそのコマンドが悪意がある可能性があることを警告するセキュリティ機能を導入することによってです。
アトミックスティーラーキャンペーンはスクリプトエディタを悪用するようシフトしました。攻撃者が潜在的な被害者がターミナルでこれらの警告を見るのを回避しようとしているためです。
「これは意味のある摩擦ポイントですが、このキャンペーンが示すように、1つのドアが閉じると、攻撃者は別のドアを見つけます」とJamf Threat Labsのシニア脅威・検出研究者であるThijs Xhaflaire氏は4月8日に公開されたブログ投稿で述べました。
Jamfで詳述されたアトミックスティーラーキャンペーンは、潜在的な被害者にブラウザ内の完全なウィンドウを提示しました。それはAppleからのものであると主張し、Macのディスクスペースを取り戻す方法に関するアドバイスを提供していました。
潜在的な被害者をこれらのサイトに誘う方法は詳述されていませんが、通常、同様のClickFixキャンペーンは悪質なリンクまたは不正な広告に依存しています。
ユーザーはMac上のディスクスペースを取り戻すと思われるステップバイステップの指示に従うよう求められます。これにより、スクリプトエディタを開き、実はマルウェアペイロードを実行して被害者のシステムを感染させる悪質なコマンドを貼り付けることになります。
「ターミナルからスクリプトエディタへの実行をシフトすることにより、攻撃者は使い慣れた配信メカニズムを保持しながら、コマンドが実際に実行される方法と場所を静かに変更しています。これは意味のある影響を持つ小さな調整です」とXhaflaire氏は述べました。
ClickFixはサイバー犯罪者がマルウェアおよびフィッシング攻撃を配布するための最も人気のあるベクトルの1つになっています。
ネットワーク管理者がユーザーが被害者になるのを防ぐために取ることができるアクションには、実行ダイアログとクリップボードの使用を制限すること、潜在的に悪質な実行ファイルの実行を制限すること、および潜在的に悪質な広告およびウェブサイトへのアクセスをブロックすることが含まれます。
翻訳元: https://www.infosecurity-magazine.com/news/atomic-stealer-macos-clickfix/
