- ハッカーがmacOS上のClickFix攻撃を復活させる
- 新しい方法がURL スキーム経由でScript Editorを悪用する
- キャンペーンがAtomic Stealerを配信して機密データを流出させる
ハッカーは古いClickFix攻撃に新しいひねりを加えて、最近導入されたmacOSの保護を回避し、それでもinfostealer マルウェアをユーザーのデバイスに配信していると、専門家は警告しています。
セキュリティ研究者のJamf Threat Labsは最近、そのようなキャンペーンを検出し、これまでのところ、macOS上のClickFix攻撃が被害者にターミナルにコマンドをコピーして貼り付けさせようとしていたことに気づきました。
しかし、macOS 26.4では、この方法はもう機能しません。デバイスが実行される前にすべてのコマンドをスキャンするからです。そのため、攻撃者は創意工夫をし、新しいエントリーポイント——Script Editorを見つけました。
記事はここから続きます
AMOS のドロップ
Script Editorは、ユーザーがスクリプトを書き、編集し、実行してタスクを自動化し、アプリを制御できるようにするmacOSの組み込みアプリケーションです。AppleScriptとJavaScriptをサポートしており、ユーザーは完全なソフトウェアプログラムを作成することなく特定のアクションを合理化できます。
被害者にScript Editorを実行させるために、攻撃者はURLスキームを使用しました。
「Script Editorはマルウェア配信メカニズムとしてよく文書化された歴史があるため、ここにその存在は驚くべきことではありません」と研究者は書きました。「注目すべきことは、このClickFix攻撃キャンペーンでの役割と、URLスキーム経由で呼び出されたという事実です。」
URLスキームは、カスタムプレフィックスを使用して特定のアクションをトリガーする特別なタイプのリンクです。
キャンペーンでは、攻撃者はMac上で「ディスク領域を回復する」方法を提供するウェブサイトを作成しました。そのためには、ユーザーはページに表示される「実行」ボタンを押す必要があり、これはapplescript:// URLスキームを呼び出しました。このスキームはユーザーにScript Editorを開くように促し、承認された場合は事前に入力されたスクリプトで実行されます。
「このアプローチは直接的なユーザーのインタラクションを減らします」とJamfはさらに述べました。「ユーザーはウェブページからScript Editorウィンドウに誘導されるのではなく、ターミナルでコマンドを入力することになります。」
スクリプトは最終的にAtomic Stealerをデプロイします。これは、パスワード、暗号通貨ウォレット情報、ブラウザに保存されたデータ、およびそれ以上を流出させることができる既知のmacOS infostealerです。
そしてもちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、ビデオ形式でのアンボックスを取得したり、WhatsAppでも定期的な更新を受け取ることができます。
