スクリプト（主にAppleScriptとJXA）の作成と実行に使用される信頼されているmacOSアプリケーションである**Script Editor**が、マルウェア配信のために悪用されています。研究者たちは、以前の攻撃とは異なり、ユーザーがTerminalと手動で対話する必要のない、新しいClickFixテクニックを観測しています。 ### ClickFix攻撃がTerminal警告を回避 **Apple**はmacOS Tahoe 26.4でClickFix攻撃に対する保護機能を追加し、Terminalでのコマンド実行時に警告を表示しますが、この新しいScript Editorベースの攻撃はこのセキュリティ対策を回避します。 ### 偽のApple風サイトがマルウェアを配布 **Jamf**のセキュリティ研究者は、攻撃者がMacコンピュータのディスク容量を回復するためのガイドを装った偽のApple風ウェブサイトを使用しているキャンペーンを観測しています。これらのサイトには、一見正規のシステムクリーンアップ手順が含まれていますが、`applescript://` URLスキームを使用して、実行可能なコードがあらかじめ入力されたScript Editorを起動します。  *出典: Jamf* ### 攻撃の技術的詳細 悪意のあるコードは、難読化された`curl | zsh`コマンドを実行し、システムメモリに直接スクリプトをダウンロードして実行します。このスクリプトは、base64 + gzipペイロードをデコードし、バイナリ（`/tmp/helper`）をダウンロードし、`xattr -c`を使用してセキュリティ属性を削除し、実行可能にしてから実行します。 ### Atomic Stealer (AMOS) ペイロード 最終的なペイロードは、商品化されたマルウェア・アズ・ア・サービスである**Atomic Stealer**（AMOS）として特定されたMach-Oバイナリです。このマルウェアは、過去1年間にさまざまな誘い文句を使用してClickFixキャンペーンで広範囲に展開されてきました。AMOSは、以下を含む広範な機密データを標的としています。 * Keychain情報 * デスクトップファイル * 仮想通貨ウォレット拡張機能 * ブラウザの自動入力データ * パスワード * Cookie * 保存されたクレジットカード * システム情報 昨年、AMOSはバックドアコンポーネントを追加し、オペレーターに侵害されたシステムへの永続的なアクセスを提供しました。 ### 緩和策と予防策 Macユーザーは、Script Editorのプロンプトに極度の注意を払い、コードを完全に理解し、ソースを信頼しない限り、実行を避けるべきです。macOSのトラブルシューティングガイドについては、Appleの公式ドキュメントを参照してください。**Apple Support Communities**は役立つ場合がありますが、アドバイスがリスクフリーではない可能性があるため、注意が必要です。