ClickFix攻撃でClaude LLMのアーティファクトが悪用され、Mac向け情報窃取マルウェアが拡散
Original Title: Claude LLM artifacts abused to push Mac infostealers in ClickFix attack
Published (UTC): 2026-02-13T11:21:43+00:00
要旨(日本語)
– 攻撃者がGoogle広告を用いたClickFix手法とClaudeの公開アーティファクトを悪用し、macOS向けの情報窃取マルウェアを配布
– 検索結果からclaude.ai上の公開ガイドやApple Supportを装ったMedium記事へ誘導し、ターミナルでのコマンド実行を促す流れ
– ターゲットは「オンラインDNS解決」「macOSのCLIディスク容量解析」「Homebrew」関連などの技術系検索クエリ
– 2種類の手口を確認:1) base64デコードしてzshで実行、2) curlで raxelpak[.]com から取得してzsh実行
– 悪性Claudeガイドは少なくとも15,600回閲覧(AdGuard観測時12,300回)し、危険手順へのアクセスは1万人超に達する規模
– 実行されるのはMacSyncインフォスティーラーのローダーで、キーチェーン・ブラウザデータ・暗号資産ウォレットなどの機微情報を窃取
– マルウェアはハードコードされたトークン/APIキーでC2と通信し、macOSブラウザのユーザーエージェントを偽装
– 窃取データはZIP化されHTTP POSTで a2abotnet[.]com/gate に送信し、失敗時は分割して最大8回再試行、成功後に痕跡を消去
– 両バリアントは同一C2から第二段階を取得しており、同一の脅威アクターによる活動を示唆
– 過去にはChatGPTやGrokの会話共有機能を悪用してAMOSインフォスティーラーを配布する類似のClickFix攻撃も確認され、LLM悪用が拡大
– 背景として、Claudeアーティファクトはユーザーが公開する未検証の生成コンテンツであり、この特性が攻撃に利用された
– 推奨対策:理解しきれていないターミナルコマンドは実行せず、チャットボットで安全性を確認する/検索広告リンクに注意/広告・URLフィルタやEDRの導入を検討