概要

セキュリティ研究者らは、ClickFixキャンペーンがMacSync macOS情報窃取マルウェアの配布に使用されていることを発見しました。このマルウェアは、ユーザーの操作を必要とするため、ユーザーが未知のターミナルコマンドを実行する可能性がある場合に特に効果的です。

ClickFixキャンペーンの詳細

ClickFixキャンペーンは、2025年11月から2026年2月までに3つの異なるキャンペーンが確認されています。

• 2025年11月：OpenAI Atlasブラウザを使用してユーザーをGoogleのスポンサード検索結果に誘導し、偽のGoogle Sites URLにユーザーをリダイレクトして、ダウンロードボタンをクリックさせることで、ターミナルアプリでコマンドを実行するよう指示します。これにより、シェルスクリプトがダウンロードされ、システムパスワードを入力するようユーザーに求め、ユーザー権限でMacSyncを実行します。
• 2025年12月：「Macをクリーンアップする方法」などの検索クエリに関連するスポンサードリンクを使用して、ユーザーをOpenAI ChatGPTサイトの共有会話に誘導し、悪意のあるGitHub風のランディングページにリダイレクトします。これらのページは、ユーザーがターミナルアプリで悪意のあるコマンドを実行するよう誘導します。
• 2026年2月：ベルギー、インド、北米および南米の一部を対象としたキャンペーンで、新しいMacSyncの変種をClickFixの罠を通じて配布します。この最新の変種は、動的なAppleScriptペイロードとメモリ実行をサポートし、静的解析を回避し、行動検出をバイパスし、インシデント対応を複雑にします。

脅威の進化

これらのキャンペーンは、ユーザーが正当なソフトウェアをインストールしようとするという前提を利用して、ユーザーを誘導します。これにより、開発者向けのインストールパターンである「curl | sh」が悪用され、ユーザーが悪意のあるコマンドを実行する可能性が高まります。

対策

サイト管理者は、サイトを最新の状態に保ち、強力なパスワードを使用し、2要素認証を設定し、不審な管理者アカウントをスキャンすることを推奨します。また、ユーザーは信頼できるセキュリティソフトウェアを使用し、最新のフィッシングやClickFixの手口について情報を得ることで、攻撃から身を守ることができます。

元記事: https://thehackernews.com/2026/03/clickfix-campaigns-spread-macsync-macos.html