JamfがコピペTerminalのおとりをScript Editor実行に置き換えるClickFixバリアントを発見、Atomic Stealerの配信をより効率化
ClickFixマルウェアキャンペーンが再び進化しており、脅威アクターが最も明白でユーザーに依存するステップの1つを削除しています:被害者を説得して悪意のあるコマンドをTerminalに貼り付けさせることです。代わりに、最新のバリアントは単一のブラウザクリックを使用してスクリプト実行をトリガーし、感染チェーンを合理化し、ユーザーの躊躇を減らします。
Jamf Threat Labsの研究者が、ブラウザから直接AppleのネイティブScript Editorを起動する新しいmacOSキャンペーンを特定しました。このキャンペーンは悪意のあるコードで事前に読み込まれています。このテクニックはapplescript:// URLスキームを悪用してScript Editorを自動的に開き、Terminalを完全に回避し、Atomic Stealerペイロードをはるかに少ない抵抗で配信します。
「Script Editorはマルウェア配信メカニズムとしてよく文書化された歴史を持っているため、ここでのその存在は驚くべきものではありません」と研究者はブログ投稿で述べています。「注目すべき点は、このClickFixキャンペーンでのその役割と、URLスキーム経由で呼び出されたという事実です。」
ペイロードは新しいものではありません。これはAtomic Stealerで、macOSを中心としたキャンペーンで一般的に展開される認証情報収集ストレインです。
Appleが保護を削除、攻撃者がそれを回避
従来、ClickFixチェーンはソーシャルエンジニアリングに依存して、ユーザーに難読化されたコマンドをTerminalに貼り付けさせていました。Appleの最近の保護により、貼り付けられたコマンドの周囲のスキャンとプロンプトが導入され、そのフローを破壊するための制限が追加されました。
このキャンペーンはそれを回避しています。
被害者はシステム修正またはクリーンアップガイドとして装ったAppleテーマのページに誘導されます。何かをコピーする代わりに、applescript:// URLを呼び出すボタンをクリックします。そのアクションはScript Editorを事前に入力されたスクリプトで開き、実行する準備ができています。
ユーザーがTerminalと対話するよう指示しないことで、攻撃者はmacOS Tahoe 26.4でAppleが実行した決定ポイントを削除しました。「AppleはこれにmacOS 26.4で直接狙いを定めました。Terminalに貼り付けられたコマンドを実行前にスキャンするセキュリティ機能を導入しました」と研究者は追加しました。「これは意味のある摩擦ポイントですが、このキャンペーンが示すように、1つのドアが閉まると、攻撃者は別のドアを見つけます。」
Script EditorはネイティブmacOSユーティリティであり、経験の浅いユーザーにとってTerminalと同じ即座の疑いを招きません。ただし、このテクニックに対してはまだいくつかの抵抗があります。
研究者はScript Editorの動作はmacOSバージョンによって異なる可能性があることを指摘しました。「macOS Tahoeの最近のバージョンでは、追加の警告プロンプトが表示され、ユーザーが実行前にスクリプトをディスクに保存することを許可する必要があります」と彼らは言いました。
Atomic Stealerの軽量ステージング
実行されると、AppleScriptは難読化されたシェルコマンドに解決されます。そのコマンドは隠されたURLをデコードし、「curl」を使用してリモートペイロードを取得し、「zsh」経由でそれを実行します。ここから、標準的な情報盗用は一時的な場所に書き込まれた「Mach-O」バイナリで引き継ぎ、その属性が調整され、権限が設定され、実行がトリガーされます。
このバイナリはAtomic Stealerの新しいバリアントです。
研究者は、ステージングアプローチが初期スクリプトを最小限に抑え、検出不可能にしておく一方で、実際の悪意のあるロジックが別途到着することを指摘しました。それはモジュール化され、迅速に更新でき、最初の段階での検出がより困難です。
