偽のCAPTCHAがmacOSユーザーから暗号通貨を盗む

仮想通貨ユーザーは、偽のCloudflare CAPTCHAページを介した新たなセキュリティ脅威に直面している。この攻撃は、macOSシステムから仮想通貨ウォレットのデータを盗み出すために設計された「Infiniti Stealer」と呼ばれる新たな情報窃盗マルウェアのインストールにつながる。. 

つまり、MacBookまたはMacデスクトップコンピュータを使用している開発者や暗号通貨ユーザーは、このマルウェアに感染するリスクがあるということです。.

ClickFix攻撃によりmacOSシステムの感染が開始

このキャンペーンは、マルウェア対策専門企業Malwarebytesのセキュリティ研究者によって発見された。その後、マルウェアのオペレーターパネルが明らかになり、その名称がInfinite Stealerであることが判明した。.

情報窃盗マルウェアは、ClickFix攻撃によって拡散されます。ClickFix攻撃はソーシャルエンジニアリング攻撃の一種です。ユーザーを騙して、悪意のあるコマンドを自分で実行させるように仕向けます。直接コンピュータをハッキングするのではなく、ユーザー自身にハッキングを実行させるのです。.

攻撃は、update-check[.]com の偽の CAPTCHA ページから始まります。このページは Cloudflare の人間認証ページのように見えますが、実際は違います。偽の CAPTCHA をクリックすると、ユーザーはターミナルを開いてコマンドを貼り付けるように指示されます。.

このコマンドは検証ではありません。ユーザーのコンピューターにマルウェアをダウンロードして実行する、隠されたインストーラースクリプトです。.

この攻撃が成功するのは、ユーザーがコマンドを実行するからである。脆弱性を悪用する仕組みがないため、従来の防御策を回避できる。.

このコマンドが実行されると、攻撃者が制御するリモートサーバーに接続され、Infiniti StealerがダウンロードされてMacに静かにインストールされます。ポップアップも警告もなく、ただ静かにインストールが行われます。.

セキュリティ研究者によると、このマルウェアはmacOSネイティブバイナリにコンパイルされているため、分析や検出が難しいとのことだ。簡単に読み解けるPythonスクリプトとは異なる。.

この マルウェアは 、Macから機密データを盗み出すように設計されており、暗号通貨ウォレットのデータ、ブラウザやmacOSキーチェーンからの認証dent、開発者ファイル内の平文の秘密情報、さらには実行中にキャプチャされたスクリーンショットなども含まれます。

また、検出を回避するために分析環境で実行されているかどうかを確認し、盗んだデータを攻撃者のサーバーに送信します。データtracが完了すると、攻撃者にTelegramで通知が送信され、キャプチャされたdent情報はサーバー側のパスワード解析のためにキューに追加されます。.

ClickFix攻撃はWindowsではよく見られますが、現在ハッカーはApple製マシン向けにもこの攻撃手法を応用しています。macOSシステムはもはやマルウェアに対して安全とは言えません。暗号化技術を使用するユーザーは、ウェブ閲覧時に注意を払い、信頼できないソースからターミナルにコマンドを貼り付けないようにしてください。.

暗号通貨個人ウォレットの侵害が急増

これはmacOS上の暗号通貨ユーザーを標的とした、初めての高度な攻撃ではない。Cryptopolitan Cryptopolitan 3月に 「GhostClaw」。

このマルウェアは、JavaScriptで広く利用されているパッケージマネージャーであるnpmに登録されていました。本物のOpenClawツールを装っていましたが、実際には多段階攻撃を実行していました。レジストリから削除されるまでに、合計178人の開発者がこの悪意のあるパッケージをダウンロードしていました。.

2025年には、仮想通貨業界から合計34億ドルが盗まれた。.

によると、「個人ウォレットの侵害は大幅に増加しており、2022年には盗難総額のわずか7.3％だったのが、2024年には44％にまで上昇した」とのことだ レポート 。

Bybit攻撃の甚大な影響がなければ、個人ウォレットへのハッキングの規模は2025年には37%に達していただろう。.