Type to search

マルウェア

偽CAPTCHAを悪用するClickFix攻撃を確認、macOSユーザーを標的

Mainichisecu 2026年 6月 25日

偽CAPTCHAを悪用したClickFix攻撃、macOSユーザーを標的

macOSユーザーを標的としたClickFix攻撃キャンペーンが確認された。調査によると、攻撃者は偽のCAPTCHAページを表示し、ユーザーにターミナルコマンドを実行させることでマルウェアの感染を試みていた。

Palo Alto Networks Unit 42の分析では、このキャンペーンで情報窃取型マルウェア「Atomic macOS Stealer(AMOS)」が利用されていたことが確認されている。AMOSはブラウザの認証情報や暗号資産ウォレットに関連するデータなどの取得機能を備えている。

研究者によると、今回の攻撃ではソーシャルエンジニアリングを利用して利用者にコマンドを実行させる手法が採用されていた。実行後はAMOSが起動し、対象システムから各種情報を収集する構成となっていた。

今回の事例は、偽CAPTCHAを利用したClickFix攻撃と、Atomic macOS Stealerを組み合わせたmacOS向けマルウェアキャンペーンとして報告されている。

偽CAPTCHAとDMGファイルを利用した感染手法

調査によると、今回の攻撃は偽のCAPTCHAページを表示することから始まる。利用者は認証手続きと誤認した状態でターミナルコマンドを実行し、その過程で攻撃者のサーバーからDMGファイルをダウンロードする仕組みとなっていた。

分析では、ダウンロードされたDMGファイルはランダムな名称で保存された後、macOS標準のユーティリティである「hdiutil」を利用して自動的にマウントされ、実行される構成が確認されている。

研究者らによると、この手法は従来のClickFixキャンペーンとは異なり、利用者がダウンロード後にDMGファイルを手動で開く操作を必要としない点が特徴とされている。そのため、一連の感染プロセスが自動的に進行する仕組みが採用されていた。

今回の事例は、偽CAPTCHA、ターミナルコマンド、DMGファイルを組み合わせたmacOS向けClickFix攻撃の感染フローとして報告されている。

AMOSによる情報窃取機能

分析によると、Atomic macOS Stealer(AMOS)はChromium系およびFirefox系ブラウザを対象とし、各種情報を収集する機能を備えている。調査では、ブラウザのCookie、認証情報、自動入力データに加え、暗号資産ウォレット関連データも収集対象となることが確認された。

研究者らによると、収集されたデータはZIP形式で圧縮された後、外部サーバーへ送信される仕組みとなっている。

また、一部の事例では、正規ソフトウェアのインストーラを改変し、マルウェアを含むファイルへ置き換える手法も確認された。こうした手法により、利用者が正規ソフトウェアをインストールする過程でマルウェアが実行されるケースが報告されている。

今回の事例は、AMOSによるブラウザ情報および暗号資産関連データの収集機能と、正規ソフトウェアを悪用した配布手法を組み合わせたmacOS向けマルウェアキャンペーンとして報告されている。

ソーシャルエンジニアリングを利用した攻撃手法

ClickFix攻撃は、ソフトウェアの脆弱性を悪用するのではなく、ソーシャルエンジニアリングを利用して利用者自身にコマンドを実行させる手法を採用している。調査によると、攻撃者は正規の認証画面やサポート画面を装い、利用者の操作を誘導する構成を用いていた。

分析では、この手法はソフトウェアの欠陥ではなく、利用者による正規操作を前提としている点が特徴とされている。そのため、利用者が実行したコマンドを起点として攻撃が進行するケースが確認されている。

研究者らによると、この種の攻撃は企業環境でも確認されており、業務中の利用者が正規の手続きと誤認して操作を行うことで、マルウェアの実行につながる事例が報告されている。

今回の事例は、ソーシャルエンジニアリングを利用したClickFix攻撃の手法と、その運用形態に関する事例として報告されている。

利用者教育と監視体制の重要性

今回の事例を受け、研究者らは利用者へのセキュリティ教育の重要性に言及している。特に、CAPTCHA認証を装ったソーシャルエンジニアリングの手法について、利用者が攻撃の流れを理解しておくことが重要な要素として挙げられている。

また、調査では、不審なDMGファイルのダウンロードやマウント処理が、今回の感染フローにおける主要な挙動として確認された。これらの動作は、関連する分析や監視の対象として報告されている。

さらに、AMOSのような情報窃取型マルウェアは、感染後にブラウザ情報や暗号資産関連データなどを収集する機能を備えていることから、情報窃取型マルウェアの活動を対象とした検知・分析が行われている。

今回の事例は、偽CAPTCHAを利用したClickFix攻撃からAMOSの実行に至る一連の感染フローと、関連する監視・分析手法について報告されたケースとして位置付けられている。

前の記事
次の記事

コメントを残す

Next Up

Bluekitフィッシングキットを確認、Browser-in-the-Middle手法で認証情報を窃取
Mainichisecu 2026年 6月 26日
© Copyright 2023 Mainichi Secu. All Rights Reserved

mainichisecuをもっと見る

今すぐ購読し、続きを読んで、すべてのアーカイブにアクセスしましょう。

続きを読む