新しいサイバーセキュリティキャンペーンであるClickFixは、ネイティブなスクリプトエディタを悪用してAtomic Stealerマルウェアを配信することで、macOSユーザーを標的としています。
セキュリティ研究者は、この技術は正当なmacOSツールに依存しているため、攻撃がより検出されにくく、被害者にとってより説得力があるため、特に危険であると警告しています。
攻撃は通常、システム最適化またはクリーンアップツールとして装った悪意あるウェブサイトから始まります。これらのページは、ユーザーに偽の「修正」または「最適化」ボタンをクリックするように仕向けます。
クリックすると、被害者はスクリプトエディタを開くように促され、事前ロードされたスクリプトを実行するよう促されます。スクリプトエディタは信頼されたmacOSユーティリティであるため、ユーザーは悪意のある活動を疑う可能性が低いです。
このキャンペーンは、事前入力されたAppleScriptコードでスクリプトエディタを自動的に開く、特別に細工されたリンクを使用しています。
スクリプトは、ストレージのクリーニングや一時ファイルの削除など、無害なタスクを実行するように見えます。しかし、スクリプト内に隠されているのは、curlやzshなどのツールを使用してリモートペイロードを実行するコマンドです。
このペイロードは、検出を回避するためにしばしば難読化されています。エンコードされた文字列とデコード技術を使用して、実行時に悪意のあるコマンドを再構築します。
実行されると、スクリプトはセカンダリファイルをダウンロードし、通常はシステムの一時ディレクトリに保存されます。その後、ファイルは実行可能にされ、デバイス上で起動されます。
研究者は、これらの悪意あるペイロードをホストするキャンペーンに関連するドメインとURLを特定しました。これらのサイトは正当なサービスに偽装されており、ユーザーの相互作用の可能性を高めます。
このキャンペーンで配信される最終ペイロードはAtomic Stealerで、これは既知のmacOS情報盗聴マルウェアです。インストールされると、ブラウザデータ、保存されたパスワード、暗号資産ウォレット、システム詳細を含む機密情報を収集できます。
マルウェアはバックグラウンドで静かに動作し、しばしば即座のアラートをトリガーしません。正当なシステムツールとシンプルなスクリプト技術の使用により、基本的なセキュリティ防御を回避できます。
さらに、このキャンペーンは従来のエクスプロイト方法を避けています。代わりに、ユーザーが悪意のあるスクリプトを自分自身で実行するよう説得するためにソーシャルエンジニアリングに頼ります。
そうすることで、検出の可能性を減らし、キャンペーンの成功率を高めます。
セキュリティ専門家は、ユーザーに信頼されていないソースからスクリプトを実行することを避け、迅速なシステム修正を提供するウェブサイトに注意するよう勧めています。
組織は、異常なスクリプトエディタアクティビティを監視し、可能な限り不正なスクリプト実行を制限すべきでもあります。
macOSが人気を続ける中、ClickFixのようなキャンペーンは、攻撃者がより広い対象者を攻撃するために、ますます隠密な方法を使用して技術を適応させていることを示しています。
翻訳元: https://cyberpress.org/clickfix-delivers-atomic-stealer/