攻撃者はMedium、Craft、Squarespaceに偽のmacOSトラブルシューティングガイドを投稿しています。目的は、ユーザーにiCloudデータ、保存されたパスワード、暗号通貨ウォレットをターゲットとしたマルウェアをインストールするためのターミナルコマンドを実行させることです。MicrosoftのDefenderセキュリティリサーチチームが調査結果を公開しました。このキャンペーンは2025年後半から実行されています。これは、ディスク容量の解放やシステムエラーの修正など、一般的な問題の解決策を探しているMacユーザーを狙ったものです。正規の修正方法を提供する代わりに、ページはユーザーにコマンドをコピーしてターミナルに貼り付けるよう指示します。そのコマンドはマルウェアをダウンロードして実行します。誤解を招くブログ投稿は、読者に悪意のあるコマンドをコピーしてターミナルに貼り付けさせます。このコマンドはマルウェアをダウンロードし、被害者のコンピュータ上で実行します。この手法はClickFixと呼ばれます。これはソーシャルエンジニアリングの一種で、ペイロードの起動責任を被害者に移すものです。ユーザーがコマンドを直接ターミナルで実行するため、macOSのGatekeeperはペイロードを検査しません。通常、GatekeeperはFinderを通じて開かれるアプリケーションバンドルのコード署名と認証を確認しますが、この方法はそれを完全に回避します。攻撃者は同じ目的を持つ3つのキャンペーンを展開しました。Microsoftは3つのキャンペーンインストーラーを発見しました。ローダー。スクリプト。ヘルパー。これらすべては、機密データを収集し、持続性を確立し、盗んだ情報を攻撃者のサーバーに送信します。マルウェアファミリーにはAMOS、Macsync、SHub Stealerが含まれます。いずれか一つのマルウェアがインストールされると、iCloudとTelegramのアカウントデータを狙います。その後、2MB以下のプライベートドキュメントや写真を探し出します。そして、Exodus、Ledger、Trezorから暗号通貨ウォレットのキーを抽出し、ChromeやFirefoxから保存されたユーザーネームとパスワードを盗みます。インストール後、マルウェアは偽のダイアログを表示し、「ヘルパーツール」をインストールするためにシステムパスワードを入力させます。ユーザーがパスワードを入力すると、攻撃者はファイルやシステム設定に完全にアクセスできるようになります。一部のケースでは、研究者は攻撃者が正規の暗号通貨ウォレットアプリを削除し、トロイの木馬化されたバージョンに置き換えて取引を監視し資金を盗む仕組みを仕込んでいることを発見しました。この攻撃でターゲットとなった主なアプリは、Trezor Suite、Ledger Wallet、Exodusです。ローダーキャンペーンにはキルスイッチも含まれています。マルウェアはロシア語キーボードレイアウトを検出すると実行を停止します。セキュリティリサーチャーは、攻撃者がcurl、osascript、その他のmacOSネイティブユーティリティを使用してペイロードをメモリ内で直接実行しているのを観察しました。これはファイルレスのアプローチであり、標準的なアンチウイルスツールによる検出を困難にしています。攻撃者は暗号通貨開発者を標的にしています。ANY[.]RUNのセキュリティリサーチャーは、「Mach-O Man」と呼ばれるラザルスグループの作戦を発見しました。ハッカーは偽の会議招待を通じてClickFix手法を使用しました。彼らはmacOSが一般的なフィンテックや暗号通貨のマシンを狙いました。CryptopolitanはPromptMinkキャンペーンについて報じました。北朝鮮のグループFamous Chollimaは、AI生成の変更を通じて、悪意のあるnpmパッケージを暗号取引プロジェクトに仕込みました。二層のパッケージアプローチを用いて、マルウェアはウォレットデータやシステムの秘密にアクセスしました。両キャンペーンは、暗号通貨ウォレットのデータが価値あるものであることを示しています。攻撃者は、偽のブログ投稿からAI支援のサプライチェーン侵害まで、配信手法を適応させています。もしこれを読んでいるなら、あなたはすでに一歩先を行っています。私たちのニュースレターでそのまま留まってください。
ClickFixマルウェアキャンペーンは、助けを求めているMacユーザーを標的にしています
攻撃者はMedium、Craft、Squarespaceに偽のmacOSトラブルシューティングガイドを投稿しています。目的は、ユーザーにiCloudデータ、保存されたパスワード、暗号通貨ウォレットをターゲットとしたマルウェアをインストールするためのターミナルコマンドを実行させることです。
MicrosoftのDefenderセキュリティリサーチチームが調査結果を公開しました。このキャンペーンは2025年後半から実行されています。これは、ディスク容量の解放やシステムエラーの修正など、一般的な問題の解決策を探しているMacユーザーを狙ったものです。
正規の修正方法を提供する代わりに、ページはユーザーにコマンドをコピーしてターミナルに貼り付けるよう指示します。そのコマンドはマルウェアをダウンロードして実行します。
誤解を招くブログ投稿は、読者に悪意のあるコマンドをコピーしてターミナルに貼り付けさせます。このコマンドはマルウェアをダウンロードし、被害者のコンピュータ上で実行します。
この手法はClickFixと呼ばれます。これはソーシャルエンジニアリングの一種で、ペイロードの起動責任を被害者に移すものです。ユーザーがコマンドを直接ターミナルで実行するため、macOSのGatekeeperはペイロードを検査しません。
通常、GatekeeperはFinderを通じて開かれるアプリケーションバンドルのコード署名と認証を確認しますが、この方法はそれを完全に回避します。
攻撃者は同じ目的を持つ3つのキャンペーンを展開しました。
Microsoftは3つのキャンペーンインストーラーを発見しました。
ローダー。
スクリプト。
ヘルパー。
これらすべては、機密データを収集し、持続性を確立し、盗んだ情報を攻撃者のサーバーに送信します。
マルウェアファミリーにはAMOS、Macsync、SHub Stealerが含まれます。いずれか一つのマルウェアがインストールされると、iCloudとTelegramのアカウントデータを狙います。その後、2MB以下のプライベートドキュメントや写真を探し出します。そして、Exodus、Ledger、Trezorから暗号通貨ウォレットのキーを抽出し、ChromeやFirefoxから保存されたユーザーネームとパスワードを盗みます。
インストール後、マルウェアは偽のダイアログを表示し、「ヘルパーツール」をインストールするためにシステムパスワードを入力させます。ユーザーがパスワードを入力すると、攻撃者はファイルやシステム設定に完全にアクセスできるようになります。
一部のケースでは、研究者は攻撃者が正規の暗号通貨ウォレットアプリを削除し、トロイの木馬化されたバージョンに置き換えて取引を監視し資金を盗む仕組みを仕込んでいることを発見しました。
この攻撃でターゲットとなった主なアプリは、Trezor Suite、Ledger Wallet、Exodusです。
ローダーキャンペーンにはキルスイッチも含まれています。マルウェアはロシア語キーボードレイアウトを検出すると実行を停止します。
セキュリティリサーチャーは、攻撃者がcurl、osascript、その他のmacOSネイティブユーティリティを使用してペイロードをメモリ内で直接実行しているのを観察しました。これはファイルレスのアプローチであり、標準的なアンチウイルスツールによる検出を困難にしています。
攻撃者は暗号通貨開発者を標的にしています。
ANY[.]RUNのセキュリティリサーチャーは、「Mach-O Man」と呼ばれるラザルスグループの作戦を発見しました。ハッカーは偽の会議招待を通じてClickFix手法を使用しました。彼らはmacOSが一般的なフィンテックや暗号通貨のマシンを狙いました。
CryptopolitanはPromptMinkキャンペーンについて報じました。
北朝鮮のグループFamous Chollimaは、AI生成の変更を通じて、悪意のあるnpmパッケージを暗号取引プロジェクトに仕込みました。二層のパッケージアプローチを用いて、マルウェアはウォレットデータやシステムの秘密にアクセスしました。
両キャンペーンは、暗号通貨ウォレットのデータが価値あるものであることを示しています。攻撃者は、偽のブログ投稿からAI支援のサプライチェーン侵害まで、配信手法を適応させています。
もしこれを読んでいるなら、あなたはすでに一歩先を行っています。私たちのニュースレターでそのまま留まってください。