概要
新しいClickFix攻撃がmacOSユーザーを標的としており、MacSync情報窃取マルウェアを配布しています。この攻撃は、従来のソフトウェア脆弱性を突くのではなく、ユーザーの行動を巧みに利用する社会工学的手法を用いています。
ClickFix攻撃の特徴
ClickFixは、攻撃者がステップバイステップの指示を提供し、ユーザーに悪意のあるコマンドを実行させることで、マルウェアをインストールさせる手法です。この攻撃は、ユーザーの操作に依存しているため、FIDO2のようなフィッシング対策認証メカニズムでは防御できません。
攻撃の展開
これらの攻撃は、2025年11月から2026年2月にかけて、Google広告やChatGPTプラットフォームを用いて展開されました。ユーザーが検索エンジンで「ChatGPT Atlas」などのキーワードを検索すると、悪意のあるページに誘導される可能性があります。
攻撃の手口
- ユーザーが悪意のあるページからダウンロードボタンをクリックすると、Terminalでコマンドを実行する指示が表示されます。
- ユーザーがコマンドを実行すると、悪意のあるBashスクリプトがダウンロードされ、ユーザーのmacOSパスワードを要求し、MacSync情報窃取マルウェアをインストールします。
進化する攻撃手法
2025年12月に発見された攻撃では、ChatGPTプラットフォーム上で共有された会話を介してユーザーを誘導する手法が使用されました。これらの会話は、Macシステムをクリーニングまたは最適化するための役立つ指示を提供し、ユーザーをGitHub風のランディングページに誘導しました。
マルウェアの進化
2026年2月には、マルウェアの新しい進化版が観察されました。このマルウェアは、単一のMachOバイナリではなく、セキュリティツールを回避するためのマルチステージローダーアーキテクチャを使用しています。
データ収集とエクスフィルレーション
マルウェアは、ブラウザの資格情報、macOS Keychainデータ、SSHキー、AWS資格情報、Kubernetes構成データ、デスクトップやドキュメントフォルダからのファイル、暗号通貨ウォレットデータなどを収集します。収集されたデータはZIPアーカイブにパッケージ化され、攻撃者のインフラストラクチャにエクスフィルレートされます。
対策
セキュリティ専門家は、macOSユーザーが情報窃取マルウェアや他のマルウェアファミリーから攻撃される可能性が高まっていると警告しています。ユーザーは、未知のターミナルコマンドを実行しない、ダウンロードするソフトウェアを検証する、macOSマルウェアを検出するエンドポイント保護を展開するなどの対策を講じるべきです。
結論
これらの攻撃は、脅威アクターが社会工学的手法とマルウェア配布技術を迅速に進化させていることを示しています。macOSユーザーは、これらの攻撃から身を守るために、ユーザーの意識向上が重要な防御手段であることを認識する必要があります。