SOC Prime Bias:

25 Nov 2025 14:59 UTC

Clickfix on macOS: AppleScript マルウェアキャンペーン、ターミナルプロンプトを利用してデータを盗む

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
Clickfix on macOS: AppleScript マルウェアキャンペーン、ターミナルプロンプトを利用してデータを盗む
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

このAppleScriptマルウェアキャンペーンは、ClickFixテクニックを介してmacOSユーザーをターゲットにしています。ユーザーを説得して、base64でデコードされたシェルコマンドをターミナルで手動実行させます。これらのコマンドは、ブラウザデータ、暗号通貨ウォレット、ローカルドキュメント、その他の機密情報を収集し、それを攻撃者が管理するサーバーに送信するAppleScriptスティーラーを取得します。従来型のバイナリはディスクに書き込まれないため、この活動はクラシックなAVでは特定が難しくなっています。このオペレーションは、複数の欺瞞的なドメインと、コマンド&コントロールトラフィックのための異常なサービスポートに依存しています。

AppleScriptキャンペーン分析

研究者たちは、フィッシングサイト、ペイロードの配信を担当するJavaScript、収集と送信に使用されるAppleScriptを調査しました。インフラストラクチャーマッピングにより、以下のようなドメインが発見されました。 cryptoinfo-news.com and odyssey1.to、およびポート22、80、3333、5201にサービスが露出します。AppleScriptペイロードは、盗まれたデータをZIPファイルにパッケージ化し、 /tmp/out.zip でリモートエンドポイントにcurlを使用してアップロードします。

緩和策

防御者は、特定された悪意のあるドメインをブロックし、異常なポートへの発信接続を制限する必要があります。macOSホストを強化するために、AppleScriptとシェルの使用を制限し、 base64-d | bash の実行パターンを監視し、ウェブ環境で厳格なCORSコントロールを適用しましょう。セキュリティ意識トレーニングでは、ユーザーにコピーペーストし、ターミナルコマンドを実行するよう指示するフィッシングページを強調しましょう。

対応策

これらのインジケーターパターンが検出された場合、SOCに通知し、影響を受けたシステムを隔離し、一時的なアーティファクトとシェル履歴をキャプチャします。/tmpディレクトリを法医学的にレビューし、疑わしいZIPアーカイブを隔離し、キャンペーンで特定された既知のC2サーバーとポートに関連する発信トラフィックを関連付けます。 /tmp directory, quarantine any suspicious ZIP archives, and correlate outbound traffic with the known C2 servers and ports identified in the campaign.

攻撃の流れ

シミュレーション実行

前提条件: テレメトリーとベースラインの事前チェックが合格している必要があります。

根拠: このセクションでは、検出ルールをトリガーするように設計された対抗技術戦術(TTP)の正確な実行を詳細に説明しています。コマンドとナラティブは、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。

  • 攻撃のナラティブとコマンド:

    1. 攻撃者は単一行のフィッシングメールを送信します:

      echo "cHJpbnQoJ0NhdXNlJykK" | base64 -d | bash

      (ペイロードはデコードされてprint('Cause') – 任意の悪意のあるBashスクリプトのプレースホルダーとなります。)

    2. 無防備なユーザーがその行をコピーし、ターミナルに貼り付けます。

    3. macOSはbashプロセスを生成し、そのコマンドラインは正確にパターンに一致していますbase64 -d | bash、Sigmaルールの選択.

    4. Bashインタープリターがデコードされたペイロードを実行し、悪意のあるアクションを完了します(例:リバースシェルの確立、追加ツールのダウンロード)。

  • 回帰テストスクリプト:クリーンアップコマンド:

    クリーンアップコマンド:
  • Cleanup Commands:ペイロードにより作成された可能性のある一時ファイルやバックグラウンドプロセスを削除します(必要に応じてペイロード固有のクリーンアップで置き換え)。

    #!/bin/bash
    # Simple cleanup – ensure no stray Bash child processes remain
    pkill -f "base64 -d | bash" 2>/dev/null
    # If the payload created files, delete them (example placeholder)
    rm -f /tmp/malicious_script.sh 2>/dev/null