概要
脅威アクターは、Claude アーティファクトと Google Ads を悪用し、ClickFix キャンペーンを通じて macOS ユーザーに情報窃取マルウェアを配布しています。この攻撃は、特定のクエリで検索したユーザーに対して危険な指示が含まれるコンテンツを提供します。
詳細
Claude アーティファクトとは、Antropic 社の LLM によって生成されたコンテンツであり、作成者が公開したもので、リンクを通じて claude.ai ドメインからアクセス可能となります。アーティファクトのページには、表示されている内容はユーザーが生成したものであり正確性が確認されていない旨の警告があります。
攻撃手法
研究者らによると、悪意のある検索結果は「オンライン DNS リゾルバ」や「macOS CLI ディスクスペースアナライザ」といったクエリに対して表示されます。これらの検索結果は、ユーザーに Terminal で実行するシェルコマンドを貼り付けるよう指示します。
攻撃の最初のバリエーションでは、以下のコマンドが提供されます: