新たなMac向けマルウェア攻撃キャンペーンが、偽のCloudflare認証を利用して仮想通貨保有者を標的にしている

偽のCloudflare CAPTCHAを悪用したMacユーザーを狙った攻撃により、暗号資産データが盗まれる

新たなマルウェア攻撃が、偽のCloudflare CAPTCHAページを通じてmacOSユーザーを標的にしており、開発者や暗号資産保有者を危険にさらしている。

「Infiniti Stealer」と名付けられたこのマルウェアは、仮想通貨ウォレットのデータ、ブラウザの認証情報、および機密性の高い開発者用ファイルを密かに盗み出し、Macは本質的に安全であるという長年の通説に疑問を投げかけている。

攻撃の手口

このキャンペーンは、「ClickFix」と呼ばれるソーシャルエンジニアリングの手法を利用しています。

ソフトウェアの脆弱性を悪用するのではなく、ユーザーを騙して有害なコマンドを自ら実行させるのです。

Malwarebytesのセキュリティ研究者は、この攻撃がupdate-check[.]comなどのドメインから開始されることを突き止めました。これらのドメインは、正規のCloudflareの本人確認ページを巧妙に模倣しています。

訪問者はチェックボックスにチェックを入れ、ターミナルにコマンドを貼り付けるよう促されます。これは日常的な操作のように見えますが、実際にはマルウェアのダウンロードを開始するものです。

コマンドが実行されると、マルウェアは攻撃者が制御するリモートサーバーに密かに接続し、3段階の感染プロセスを開始します。

最初のBashスクリプトは、/tmpフォルダから次の段階のバイナリをデコードして実行し、macOSの隔離フラグを解除し、ユーザーに警告することなくターミナルを閉じます。

第2段階は、Nuitkaを使用してビルドされたApple Silicon Mach-Oバイナリであり、PythonをネイティブのC実行ファイルに変換し、実行時に埋め込まれたペイロードを解凍するため、検出や分析が困難になります。

マルウェア感染中、macOS上で静かに実行されているステージ2のNuitkaローダーバイナリ。 (出典: Malwarebytes)

最終段階である UpdateHelper[.]bin は、ブラウザの認証情報、キーチェーンのエントリ、暗号通貨ウォレット、スクリーンショット、および平文の開発者秘密情報を盗み出し、すべてを攻撃者のサーバーに送信します。

データが外部へ流出する際、Telegramの通知でオペレーターに警告が送られ、取得された認証情報はパスワード解析のためにキューに入れられます。

Macがもはや無敵ではない理由

ClickFix攻撃は従来、Windowsシステムを標的としてきましたが、Infiniti Stealerは、攻撃者が現在この手法をAppleデバイスにも適応させていることを示しています。

このマルウェアはネイティブのmacOSバイナリにコンパイルされており、標準的なアンチウイルスやセキュリティソフトウェアによる検出を回避します。

出典: X

アナリストによると、このマルウェアは仮想化環境やサンドボックス環境もチェックし、自動分析を回避するためにランダムな遅延を導入しているとのことです。

Malwarebytes は、Infiniti Stealer を、ClickFix の配信と Nuitka でコンパイルされた Python ステラーを組み合わせた、初めて記録された macOS キャンペーンであると確認しました。

SlashNextのDaniel Kelley氏は次のように説明した。

「ClickFixは、日常的なセキュリティチェックを装い、ユーザーを騙して自身のデバイス上で悪意のあるコマンドを実行させるソーシャルエンジニアリング攻撃です。」

個人用暗号資産ウォレットに対する脅威の高まり

このキャンペーンは、暗号資産関連マルウェアにおけるより広範な傾向を反映している。

3月にはGhostClawと呼ばれる同様のmacOS向け脅威も報告されており、これは削除されるまでに178人の開発者がダウンロードした悪意のあるnpmパッケージを介して、秘密鍵やウォレットへのアクセス権を盗み出していました。

ブロックチェーンセキュリティ企業のChainalysisは、その影響の拡大を指摘しています： 個人ウォレットの侵害による被害額は、2022年の暗号資産盗難総額の7.3%から、2024年には44%へと増加した。

アナリストの推計によると、大規模なBybit取引所への攻撃がなければ、2025年のその割合は37%に達していた可能性がある。

全体として、2025年には暗号資産プラットフォームから34億ドルが盗まれた。

危険にさらされているユーザーのための即時の対策

これらの偽のCAPTCHAページとやり取りした可能性があるMacユーザーは、機密性の高い作業にそのデバイスを使用することを中止し、安全なシステムからパスワードを変更し、アクティブなセッションを解除し、/tmpや~/Library/LaunchAgents/などのディレクトリを調べて不審なファイルがないか確認し、包括的なマルウェアスキャンを実行することをお勧めします。

正規のCAPTCHAページが、ユーザーにターミナルを開いてコマンドを貼り付けるよう求めることは決してありません。

この攻撃が検知されにくい理由

Infiniti Stealerは、ユーザーの行動に完全に依存することで、従来の検知手法を回避しています。

フィッシングの添付ファイル、悪意のあるダウンロード、ソフトウェアの脆弱性利用などは一切ありません。

この攻撃は、ユーザーの習慣的な行動や「認証疲れ」を利用し、セキュリティに対する警戒心を緩めさせることで、ユーザーを欺きます。

アナリストらは、この進化が、macOSおよび暗号資産ユーザーを標的としたソーシャルエンジニアリングにおいて、新たなレベルの高度化を示すものであると警告しています。

ユーザーは、ブラウジングの際には細心の注意を払い、たとえページが馴染みのあるものや正当なものに見えても、信頼できないソースからのコマンドは決して実行しないよう強く求められています。