macOSユーザーを標的にしたClickFixキャンペーンは、AppleScriptベースの情報窃取マルウェアを配信し、14個のブラウザ、16個の仮想通貨ウォレット、200以上の拡張機能から認証情報とライブセッションクッキーを収集します。
Netskope Threat Labsの研究者Jan Michael AlcantaraはThe Registerに、チームが先月初めにこのキャンペーンを観察したと述べ、先週も同様の事例が見られたと述べています。
ClickFixは非常に人気の高いソーシャルエンジニアリング戦術で、偽のコンピュータ問題修正やCAPTCHAプロンプトをクリックさせることで、ユーザーに自分のコンピュータで悪意のあるコマンドを実行させるために使用されます。
研究者たちはクッキー盗難犯が誰かは知りませんが、クライアント側のJavaScriptを使用してユーザーエージェントで被害者をフィルタリングし、モバイルデバイスを無視してデスクトップユーザーをWindowsまたはmacOS固有のペイロードに誘導することで、マルウェアがWindowsとmacOSの両方のマシンに感染できることに注目しています – Netskopeは以前Windows中心の攻撃について警告していました。
被害者はアジアにいて金融部門で働いているとのことです。
デスクトップ環境を検出すると、マルウェアはユーザーを偽のCAPTCHAページに誘導し、特定のデスクトップOSを決定するための別の検査を実行し、AppleScriptベースのステーラーを読み込むために使用されるユーザーエージェント内のmacOS固有の文字列をチェックします。
偽のCAPTCHAはユーザーにMacのSpotlightを開き、「検証コード」を検索機能に貼り付けるよう促します。偽のコードはcurlコマンドで、被害者がEnterキーを押してコンピュータで実行すると、コマンドは攻撃者制御のサーバから悪意のあるスクリプトをサイレントダウンロードします。スクリプトは被害者のユーザー名を収集し、コマンド&コントロール(C2)サーバのアドレスをハードコードし、盗まれたすべてのデータをステージするための一時ディレクトリを/tmp/xdivcmp/に作成してからC2に送信します。
AppleはThe Registerの問い合わせに応じませんでしたが、最新バージョンのmacOS Tahoe(26.4)またはmacOS Sequoiaは、ClickFix攻撃をブロックするように設計された新機能を含んでいることに注意することが重要です。ターミナルアプリケーションに潜在的に悪意のあるコマンドを貼り付けようとすると、ユーザーに警告を表示するため、このタイプのClickFix攻撃を検出および防止するのに役立つようにオペレーティングシステムを更新してください。
しかし、ユーザーが古いOSバージョンを実行している場合、または何らかの理由でmacOSの警告を無視して「とにかく貼り付ける」オプションをクリックした場合、マルウェアはローカルリソースから本物のmacOSシステムロックアイコンを読み込む非常に巧妙なソーシャルエンジニアリングダイアログボックスをデプロイすることにより、認証情報収集ステージに進みます。ユーザーはロックを表示し、それが正当なAppleダイアログボックスだと考えて、システムパスワードを入力します。
マルウェアは認証情報の入力を強制するために極端な対策を講じています。単一のアクションボタンのみがあり、ユーザーがダイアログボックスウィンドウを閉じるオプションはなく、被害者が有効なパスワードを入力するまで何度も再表示されます。
これがマルウェアが盗むもの
ユーザーパスワードはmacOSのディレクトリサービス認証を使用してリアルタイムで検証され、不正な場合はダイアログボックスが再表示され、ユーザーが正しいパスワードを提供するまでこのループが続きます。
次に、macOS Keychain(保存されたパスワード、Wi-Fi認証情報、セキュアノート、暗号化キーを保存)を含むあらゆる種類のユーザーデータを盗み、悪意のあるダイアログループが被害者のパスワードをプレーンテキストで取得します。
ステーラーはまた、Chrome、Brave、Edge、Vivaldi、Opera、Opera GX、Chrome Beta、Chrome Canary、Chromium、Chrome Dev、Arc、CocCocの12個のChromiumベースのブラウザを標的にしています。これらのそれぞれについて、ユーザープロフィールを検索し、セッショントークン、認証クッキー、保存されたパスワード、クレジットカード番号を含むその他の自動入力情報、200以上のブラウザ拡張機能からのデータ、および拡張機能データベースを盗みます。
このブラウザ拡張機能の盗難は、悪党のマルウェアがMetaMask、Phantom、Coinbase Wallet、Trust Walletを含む仮想通貨ウォレット、および数十のブロックチェーン固有のものから詳細情報を盗むように構成されているため、特に悪質です。また、LastPass、1Password、Dashlane、Bitwarden、AuthyおよびGoogle Authenticator拡張機能を含む二要素認証アプリ、および企業アクセスに使用されるさまざまなVPNおよびシングルサインオン拡張機能からパスワード管理者の認証情報を収集します。
Chromiumブラウザデータに加えて、マルウェアはFirefoxおよびWaterfox(別のFirefoxベースのブラウザ)からクッキーデータベース、フォーム自動入力データ、マスターパスワード、および保存された認証情報を盗みます。
ブラウザ拡張機能を超えて、ステーラーは16個のスタンドアロンデスクトップ仮想通貨ウォレットアプリケーションを標的にしています:Exodus、Atomic、Electrum、Coinomi、Guarda、Ledger Live、Trezor Suite、Bitcoin Core、Litecoin Core、Dash Core、Dogecoin Core、Monero、Wasabi、Sparrow、Electron Cash、およびElectrum-LTC。
Alcantaraは、この情報窃取キャンペーンは、同様の技術(マルウェアの実行中であってもソーシャルエンジニアリングを使用するなど)にもかかわらず、MicrosoftがmacOSユーザーの認証情報と仮想通貨ウォレットを標的にした別のキャンペーン(先週北朝鮮の犯罪者に起因すると)とは無関係であると述べました。
Netskopeは、このマルウェアに関連する侵害の指標とスクリプトの完全なリストをGitHubリポジトリに公開しているため、確認してください。脅威ハンターが指摘しているように、「このキャンペーンは、ソーシャルエンジニアリングがWindowsおよびmacOSユーザーの両方に対する主な脅威であることを思い出させるものです。」®
