概要
セキュリティ研究者らは、新たな「ClickFix」ソーシャルエンジニアリングキャンペーンのバリアントが macOS ユーザーを標的としていることを発見しました。この攻撃は「Matryoshka」と命名されており、その名前は複数のネストされた隠蔽層を持つことから来ています。
攻撃の仕組み
ユーザーが偽装ドメイン(例:comparisions.org)にアクセスすると、攻撃者はトラフィック配布システム (TDS) を通じてユーザーをスプフォッジされたサポートページや偽のアップデートポータルへとリダイレクトします。その後、ユーザーは「インストールを修正する」メッセージと共に Terminal コマンドをコピーして貼り付けるよう指示されます。
技術的な分析
攻撃がトリガーされると、小さなスクリプト(rogue.sh)がリモートドメインから取得され、その中には Base64 エンコードと gzip 圧縮された大きなペイロードが含まれています。このペイロードは完全にメモリ内で展開され、従来のファイルベースのスキャナーや多くのサンドボックス環境を回避します。
攻撃の詳細
攻撃者は、ユーザーが Terminal コマンドを実行することで macOS の保護レイヤーをバイパスし、悪意のあるシェルスクリプトを実行させます。このスクリプトは、ブラウザ資格情報や暗号通貨ウォレットアプリケーションの盗難を目指します。
対策
ユーザーがウェブ上の指示で Terminal コマンドを貼り付けることは絶対に避けてください。公式 macOS の修正、アップデート、ドライバは手動でのコマンドライン入力が必要ありません。
インジケーターオブコンプリメンス (IOC)
- C2 ドメイン:
barbermoo[.]xyz - タイポスクエイティングドメイン:
comparisions[.]org - ゲートウェイ URL:
macfilesendstream[.]com/r2/ - ヘッダー:
api-key: 5190ef17… - ファイルパス:
/tmp/osalogging.zip - SHA-256 (観察されたサンプル):
62ca9538 889b767b 1c3b93e7 6a32fb44 69a2486c b3ccb5fb 5fa8beb2 dd0c2b90 - SHA-256 (ラッパー スクリプト – rogue.sh):
d675bff1 b895b1a2 31c86ace 9d7a39d5 704e84c4 bc015525 b2a9c80c 39158338 - SHA-256 (インナーローダースクリプト):
48770b64 93f2b9b9 e1d9bdbf 482ed981 e709bd03 e53885ff 992121af 16f76a09 - SHA-256 (AppleScript ペイロード – rogue_applescript.scpt): (利用可能な場合)