Clickfix on macOS: AppleScript マルウェアキャンペーン、ターミナルプロンプトを利用してデータを盗む
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
このAppleScriptマルウェアキャンペーンは、ClickFixテクニックを介してmacOSユーザーをターゲットにしています。ユーザーを説得して、base64でデコードされたシェルコマンドをターミナルで手動実行させます。これらのコマンドは、ブラウザデータ、暗号通貨ウォレット、ローカルドキュメント、その他の機密情報を収集し、それを攻撃者が管理するサーバーに送信するAppleScriptスティーラーを取得します。従来型のバイナリはディスクに書き込まれないため、この活動はクラシックなAVでは特定が難しくなっています。このオペレーションは、複数の欺瞞的なドメインと、コマンド&コントロールトラフィックのための異常なサービスポートに依存しています。
AppleScriptキャンペーン分析
研究者たちは、フィッシングサイト、ペイロードの配信を担当するJavaScript、収集と送信に使用されるAppleScriptを調査しました。インフラストラクチャーマッピングにより、以下のようなドメインが発見されました。 cryptoinfo-news.com and odyssey1.to、およびポート22、80、3333、5201にサービスが露出します。AppleScriptペイロードは、盗まれたデータをZIPファイルにパッケージ化し、 /tmp/out.zip でリモートエンドポイントにcurlを使用してアップロードします。
緩和策
防御者は、特定された悪意のあるドメインをブロックし、異常なポートへの発信接続を制限する必要があります。macOSホストを強化するために、AppleScriptとシェルの使用を制限し、 base64-d | bash の実行パターンを監視し、ウェブ環境で厳格なCORSコントロールを適用しましょう。セキュリティ意識トレーニングでは、ユーザーにコピーペーストし、ターミナルコマンドを実行するよう指示するフィッシングページを強調しましょう。
対応策
これらのインジケーターパターンが検出された場合、SOCに通知し、影響を受けたシステムを隔離し、一時的なアーティファクトとシェル履歴をキャプチャします。/tmpディレクトリを法医学的にレビューし、疑わしいZIPアーカイブを隔離し、キャンペーンで特定された既知のC2サーバーとポートに関連する発信トラフィックを関連付けます。 /tmp directory, quarantine any suspicious ZIP archives, and correlate outbound traffic with the known C2 servers and ports identified in the campaign.
攻撃の流れ
検出
macOSにおけるデータ漏洩のためのCurlの悪意ある使用を検出 [Windowsプロセス作成]
表示
macOSにおけるBase64デコードとBash実行の検出 [Linuxプロセス作成]
表示
検出するべきIOC(SourceIP): The Complete Guide to Hunting Cobalt Strike – Part 2: 10+ HuntSQL Recipes to Find Cobalt Strike
表示
検出するべきIOC(DestinationIP): The Complete Guide to Hunting Cobalt Strike – Part 2: 10+ HuntSQL Recipes to Find Cobalt Strike
表示
Atomic MacOS Stealer – FileGrabberアクティビティ
表示
表示
シミュレーション実行
前提条件: テレメトリーとベースラインの事前チェックが合格している必要があります。
根拠: このセクションでは、検出ルールをトリガーするように設計された対抗技術戦術(TTP)の正確な実行を詳細に説明しています。コマンドとナラティブは、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。
-
攻撃のナラティブとコマンド:
-
攻撃者は単一行のフィッシングメールを送信します:
echo "cHJpbnQoJ0NhdXNlJykK" | base64 -d | bash(ペイロードはデコードされて
print('Cause')– 任意の悪意のあるBashスクリプトのプレースホルダーとなります。) -
無防備なユーザーがその行をコピーし、ターミナルに貼り付けます。
-
macOSは
bashプロセスを生成し、そのコマンドラインは正確にパターンに一致していますbase64 -d | bash、Sigmaルールの選択. -
Bashインタープリターがデコードされたペイロードを実行し、悪意のあるアクションを完了します(例:リバースシェルの確立、追加ツールのダウンロード)。
-
-
回帰テストスクリプト:クリーンアップコマンド:
クリーンアップコマンド: -
Cleanup Commands:ペイロードにより作成された可能性のある一時ファイルやバックグラウンドプロセスを削除します(必要に応じてペイロード固有のクリーンアップで置き換え)。
#!/bin/bash # Simple cleanup – ensure no stray Bash child processes remain pkill -f "base64 -d | bash" 2>/dev/null # If the payload created files, delete them (example placeholder) rm -f /tmp/malicious_script.sh 2>/dev/null