概要:ClickFix攻撃がWindowsとmacOSを襲う
セキュリティ研究者たちは、ClickFixソーシャルエンジニアリング技術を悪用し、WindowsおよびmacOSプラットフォーム全体に情報窃取マルウェアを配布する巧妙なマルウェアキャンペーンを発見しました。このキャンペーンは、脅威アクターが正規のクラックソフトウェアの検索クエリを悪用し、ユーザーの認証情報や機密データを危険にさらす破壊的なペイロードを送り込んでいることを示しています。
感染経路:巧妙な手口でセキュリティを回避
感染経路は、ユーザーがオンラインでクラックまたは海賊版ソフトウェアを検索することから始まります。正規の結果の代わりに、被害者はGoogle Colab、Drive、Looker Studio、Sites、GroupsなどのGoogleホスト型サービスでホストされている悪意のあるランディングページに遭遇します。この多段階のインフラストラクチャは、管理者がGoogleサービスを全面的にブロックする可能性が低いという点を突き、従来のセキュリティ対策を回避するように意図的に設計されています。
ユーザーがこれらのランディングページをクリックすると、正規のCloudflare検証ページを模倣した偽のセキュリティ警告が表示されます。この欺瞞的なインターフェースは、ユーザーに検証文字列と思われるものをターミナルにコピー&ペーストするよう指示します。しかし、被害者が実際に実行するのは、Base64エンコードされた悪意のあるシェルコマンドであり、これにより情報窃取マルウェアがメモリに直接フェッチされ、実行されます。これは、従来のアンチウイルス保護を回避するファイルレス攻撃手法です。
ClickFix攻撃キャンペーンの詳細
このキャンペーンの巧妙さは、オペレーティングシステム固有のペイロード配信にあります。WindowsユーザーはACR Stealerに誘導され、macOSユーザーはmacOS版であるOdyssey Stealerを受け取ります。初期ペイロードは、完全な情報窃取機能を展開する実行可能ファイルを含むパスワード保護されたZIPアーカイブとして到着します。セキュリティ研究者たちは、ACRが情報窃取機能だけでなく、SharkClipper(コピーされたウォレットアドレスを攻撃者制御のものに置き換える仮想通貨クリップボードハイジャッカー)を含む追加マルウェアのローダーとしても機能することを発見しました。
驚異的な効果と影響
このキャンペーンの有効性は驚くべきものです。研究者たちは、2025年5月にアンダーグラウンド市場にアップロードされたACR Stealerのログが前月と比較して約700%増加し、その月だけで133,980件の新たな侵害されたユーザーログが記録されたことを文書化しました。この劇的な急増は、ClickFix攻撃ベクトルがいかに成功しているかを浮き彫りにしています。
将来の脅威予測と対策
ClickFixの成功は、いくつかの重要な要因に起因しています。従来の電子メールを介したフィッシングキャンペーンとは異なり、これらの攻撃はオーガニック検索結果やソーシャルメディアを通じて到達し、電子メールセキュリティソリューションを完全に回避します。悪意のあるスクリプトはブラウザのサンドボックス内で実行されるため、ほとんどのセキュリティ監視ツールからは見えません。さらに、コマンドはメモリ内で直接実行され、従来のエンドポイントセキュリティ対策を回避するクリーンなファイルレスプロセスを作成します。
Odysseyは、パスワード、Cookie、仮想通貨ウォレット、特定の拡張子に一致するドキュメント、Apple Notes、Keychainエントリ、システムメタデータなど、ユーザーデータを収集します。Microsoftの2025年デジタル防衛レポートによると、ClickFixは最も一般的な初期アクセス方法となり、すべての初期アクセススキームの47%を占めています。この憂慮すべき統計は、サイバー犯罪者が技術的エクスプロイトよりもソーシャルエンジニアリングを優先する、攻撃手法の広範な変化を反映しています。
WindowsおよびmacOSユーザーへの影響は深刻です。一度侵害されると、影響を受けたシステムは認証情報の窃取、金融データの流出、さらなるマルウェアのインストールの媒介となります。セキュリティ専門家は、ユーザーは、プロンプトが表示されるページがいかに正当に見えても、未検証のコマンドを未知のソースからコピーして実行してはならないと強調しています。組織はまた、従来のセキュリティツールをすり抜けるファイルレスのClickFix攻撃に対する最後の防衛線として、エンドポイント検出および対応(EDR)機能を強化する必要があります。