CloudflareをテーマとしたClickFix攻撃、InfinitiスティーラーをmacOSに展開

yab

2026.03.30

CloudflareをテーマとしたClickFix攻撃、InfinitiスティーラーをmacOSに展開

SecurityWeek – March 28, 2026

Malwarebytesの報告によると、macOSユーザーを狙ったClickFixキャンペーンがCloudflareをテーマとした認証ページを利用し、Pythonベースの情報窃盗マルウェアを配信しているとのこと。

攻撃は正規のCloudflareのCAPTCHAを装うページから始まり、macOSユーザーにターミナル上でコマンドを実行するように求める。これはClickFix攻撃と呼ばれ、ユーザーを騙してデバイス上で有害なコマンドを実行させる手法だ。被害者がコマンドを実行すると、リモートサーバーからBashスクリプトが取得される。スクリプトは埋め込まれたペイロードをデコードし、バイナリを一時フォルダに書き込み、ファイルの隔離（Quarantine）フラグを削除することで強制的に実行。また、スクリプトはC2サーバーと認証トークンを環境変数として渡し、自身を削除してターミナルウィンドウを閉じる。

スクリプトが生成するバイナリは、Nuitkaによってコンパイルされている。NuitkaはPythonコードをネイティブバイナリに変換するコンパイラであるため、静的解析が困難になるとのこと。バイナリを実行すると、ローダーは埋め込まれたデータを解凍し、Infinitiスティーラーのペイロードを起動。このスティーラーは、検出回避策として、データ窃取を開始する前にランダムな実行遅延を行い、システムが既知の分析環境であるかどうかもチェックする模様。

Infinitiスティーラーは、ブラウザの認証情報やキーチェーンの情報、暗号通貨ウォレット、開発者ファイルに保存されているシークレット、実行中にキャプチャされたスクリーンショットを標的としている。データはHTTP POSTリクエストを介してC2サーバーに送信され、操作完了時にTelegramチャンネルに通知を送信し、サーバー上で解析するためのキューに追加する。

ClickFix攻撃は2024年8月に登場し、当初は主にWindowsを標的としていたが、現在ではmacOSを狙った攻撃にも応用されている。Infinitiの配布に使われたアプローチが有効であると分かれば、今後もこのような攻撃が増加するかもしれないとMalwarebytesは警告した。