Jamfのセキュリティ研究者が、Mac ユーザーを狙った新しい ClickFix スタイルの攻撃を発見しました。偽のAppleテーマのウェブページを通じて、「Macのディスク容量を取り戻す」方法に関する指示を提供しています。
悪意のあるページ(出典:Jamf)
誰もが対象のClickFix
ClickFixは、被害者に悪意のあるコマンドを自分のマシンで実行させるソーシャルエンジニアリング技術です。通常、問題を修正または定期的なメンテナンスを実行するためにコマンドが必要であると偽ります。
この技術は最初、Windowsユーザーを対象にしていましたが、時間が経つにつれて、macOS と Linux ユーザーもターゲットにされ始めました。
「ClickFix [macOS] 技術の定番のアプローチは、ユーザーがトラブルシューティングまたは定期的なシステムメンテナンスという名目で、悪意のあるコマンドをTerminalにコピー&ペーストするよう説得することでした。Appleはこれに直接対抗するため、macOS 26.4で、Terminal にペーストされたコマンドを実行する前にスキャンするセキュリティ機能を導入しました」とJamfの研究者は指摘しています。
そのため、攻撃者は、AppleScriptおよびJavascript for Automation スクリプト言語のコードエディタである Script Editor を起動するためのブラウザトリガーされたワークフローの使用に切り替えました。(TerminalとScript Editorの両方はmacOSにデフォルトでインストールされています。)
おとりと最終的な結果
被害者の視点から見ると、攻撃は次のようになります:
- 彼らは悪意のあるページにアクセスして指示に従う
- 彼らは提供される「実行」ボタンをクリック
- ページは、ウェブサイトにScript Editorを開くことを許可するよう求めるプロンプトを表示
- Script Editorが開かれ、攻撃者のスクリプトが事前に入力されている
- 使用するmacOSのバージョンに応じて、スクリプト実行に対する追加の警告が表示されることもあれば、されないこともある
- 警告を無視して、スクリプトをディスクに保存して実行するのを許可した場合、スクリプトはAtomic Stealer(別名AMOS)のバリアントをこっそりダウンロードして実行する
Atomic Stealerは、その後好きなように展開する犯罪者に売却されるサブスクリプション製品です。システム情報の収集、Keychain(Appleの組み込みパスワード管理システム)に保存されているデータ、オートフィルデータ、パスワード、ブラウザからのクッキーおよびクレジットカード情報、暗号通貨ウォレット、その他のものを盗むことができます。
Jamfの研究者は、このマルウェア配信キャンペーンに関連した侵害の指標を共有しています。
翻訳元: https://www.helpnetsecurity.com/2026/04/10/clickfix-mac-malware-script-editor/
