概要
ClickFixは、macOS開発者を標的とした攻撃で、信頼できるHomebrewワークフローを利用してCuckoo Stealerという新しい情報窃取マルウェアを配布する新たな手法を使用しています。
攻撃の仕組み
この攻撃は、公式のHomebrewサイトに似せたドメインから始まります。これらのページは、公式サイトのレイアウトやスタイルを模倣し、ユーザーがURLバー以外では詐欺であることに気づかないように設計されています。
攻撃手順
- ドメインの偽装: homabrews[.]orgや他の類似ドメインを使用して、公式サイトを模倣します。
- コマンドの注入: 「Homebrewインストール」ボタンが提供するコピーボタンは、悪意のあるcurl | bash文字列をクリップボードに置きます。
- ダウンロード先の変更: コマンドはraw. homabrews[.]orgからインストーラーを取得し、公式サイトとは異なる場所からデータをダウンロードします。
攻撃の展開
ClickFixが最初に注目を集めたのは2024年で、既存のUI要素を利用してユーザーを欺く手法として使用されました。2026年1月には、このドメインが3回以上フィッシング検出システムによってフラグが立てられました。
情報窃取と持続性
インストール後、スクリプトは公式のHomebrewインストーラーをダウンロードしますが、悪意のあるコードが注入されています。このスクリプトはパスワード収集ループに入り、ユーザーにmacOSパスワードを入力させます。
Cuckoo Stealer
第二段階のCuckoo Stealerは、macOS情報窃取マルウェアとリモートアクセストロイアンとして機能します。HTTPSベースのコマンド&コントロールチャネルを使用し、暗号化通信を維持します。
データ収集
Cuckoo Stealerは幅広いデータを収集します:
- ブラウザパスワード、クッキー、セッショントークン
- macOS Keychain材料
- Apple Notesコンテンツ
- DiscordとTelegramのセッションデータ
- VPNおよびFTP設定ファイル
- Steamセッションファイル
- デスクトップやノードベースの暗号通貨ウォレット
防御策
この攻撃は、macOSユーザーが「コマンドをターミナルに貼り付け」ること自体が新たな攻撃面であることを示しています。既知のタイポスクワットのブロックや、curlコマンド内の無承認のrawコンテンツドメインの監視、および開発者ツールを模倣するLaunchAgentエントリの検査は、ClickFixスタイルの操作に対する重要な制御手段です。
インジケーターオブコムプロイス(IOC)
- ファイルインジケーター:
- loader: f985cd667c77e7d99c1ac2ea9cb0861ded15e1c2d44e480cbd178ca8b2caae42
- cuckoo: 545dd5cba264bf242bc837330ca34247e202f7ac25f03eec63bf5842357519f1
- ネットワークインジケーター:
- ドメイン: homabrews[.]org, raw.brewsh.cx, braw.sh, brewsh.cx, brew.lat, brew.pages.dev
- IPアドレス: 5.255.123[.]244