概要
ClickFixキャンペーンがmacOSのスクリプトエディタを悪用し、Atomic Stealerというマルウェアを配布しています。この攻撃は、Appleが新しく導入したTerminalのペースト保護機能を迂回する方法を見つけました。
背景
従来のClickFixキャンペーンでは、ユーザーにサポートページやシステムクリーニングページからコマンドをコピーしてTerminalに入力させることでマルウェアを配布していました。しかし、AppleはmacOS Tahoe 26.4でこの手法に対抗するため、ペーストされたコマンドをスキャンする機能を追加しました。
新しい攻撃方法
新たなClickFixキャンペーンでは、TerminalではなくScript Editorを使用してマルウェアを配布しています。これにより、Appleの新規制を回避し、ユーザーが信頼しているmacOSツールを利用して攻撃を実行できます。
攻撃手順
- ユーザーは偽のAppleブランドページに誘導され、「Macのディスクスペースを回復する」というメッセージを見ます。
- ユーザーが「実行」ボタンをクリックすると、ブラウザからScript Editorが開きます。
- Script Editorには、「macOS ストレージ最適化」ツールとして偽装されたスクリプトが表示されます。
マルウェアの展開
このスクリプトは、curl | zshコマンドを実行し、dryvecar[.]comから第二段階のペイロードをダウンロードします。その後、このペイロードはbase64とgzipでエンコードされており、解凍後にはMach-Oバイナリが/tmp/helperにダウンロードされます。
セキュリティ上の影響
この攻撃により、ユーザーのブラウザデータやキーチェーンシークレット、暗号資産などが盗まれる可能性があります。また、Script Editorの信頼性を利用してユーザーが警告を無視する可能性もあります。
防御策
- AppleScript://スキームの使用を監視または制限します。
- Script Editorの利用を可能な限り制限します。
- Jamf Protect Threat Prevention、Advanced Threat Controls、Web Protectionを使用して、スクリプト実行チェーンをブロックおよびレポートします。
まとめ
ユーザーは、Script Editorや「クリーニング」または「サポート」のためのスクリプトを実行する要求があるウェブページに対して警戒心を持つべきです。この攻撃は、小さな実装変更でプラットフォーム保護を回避しながら、基本的なソーシャルエンジニアリング手法を維持しています。