macOS Tahoe 26.4では、ターミナルに危険なコマンドを貼り付けた際に警告を表示する新機能が導入されました。この仕組みは、近年急増している「ClickFix」型攻撃を抑止するためのものでしたが、公開からわずか数週間で、すでにその回避手法が登場しています。ClickFixは特定のマルウェア名ではなく、ユーザー自身にターミナルで悪意あるコードを実行させるという手口を指します。macOS Sequoia以降、Gatekeeperの回避が難しくなったことで、偽DMGではなく、ClickFixを利用した口撃が広まり、結果として、Atomic Stealerなどの情報窃取系マルウェアが広く拡散することになりました。ターミナルを使わない新たな回避豊富macOS Tahoe26.4では危険なコマンドを貼り付けた際に警告がポップアップするセキュリティ機能が導入されましたが、Jamf Threat Labsが報告した最新のClickFix亜種は、ターミナルを使わず、Script Editor誘導型攻撃によって、このセキュリティ機能を回避するとのことです。攻撃者は「Reclaim disk space on your Mac(Macのディスク容量を取り戻す)」といったApple風の偽Webページを用意し、そこに「Execute(実行)」ボタンを設置します。ユーザーがクリックするとapplescript://スキームが起動し、Script Editorが自動的に開いてスクリプトが読み込まれる仕組みです。Script Editorは保存時に「未確認の開発元」警告を出しますが、ユーザーがそのまま進めてしまえば、スクリプトが実行され、難読化されたcurlコマンドを経由してマルウェアがダウンロードされます。ターミナルを使わないため、Tahoe 26.4の新しい貼り付け警告は発動しません。終わらない攻防AppleがGatekeeper強化やターミナル警告などの対策を進める一方、攻撃者は新たな抜け道を探し続けています。今回の事例は、ユーザーの操作を巧妙に誘導する社会工学的アプローチが依然として強力であることを示しています。[via 9to5Mac]