ClickFix マルウェア
最近のマルウェア配布戦略では、Google Chrome、Microsoft Word、OneDrive のエラーに似せた偽の通知が使用されています。これらの偽のアラートは、ユーザーを騙して脅迫的な PowerShell の「修正」を実行させ、最終的にマルウェアをインストールすることを目的としています。このキャンペーンは、ClearFake の関係者、ClickFix として知られる新しいグループ、悪名高い TA571 脅威アクターなど、さまざまな脅威アクターによって特定され、使用されています。TA571 は、マルウェアやランサムウェアの感染につながることが多い大量の電子メールを配布するスパム配信者として知られています。
これまで、ClearFake 攻撃では、偽のブラウザ更新を装って訪問者を騙し、マルウェアをインストールさせる Web サイト オーバーレイが使用されていました。
目次
偽のエラーアラートがマルウェアの脅威をもたらす可能性
報告された攻撃では、脅威アクターは手法を拡大し、HTML 添付ファイルに埋め込まれた JavaScript や侵害された Web サイトも利用しています。これらの戦術には、Google Chrome、Microsoft Word、OneDrive からの偽のエラーをシミュレートするオーバーレイが含まれています。これらの偽のアラートは、訪問者にボタンをクリックして PowerShell の「修正」をクリップボードにコピーし、実行ダイアログまたは PowerShell プロンプトに貼り付けて実行するように指示します。
この攻撃チェーンは、ユーザーとの重要なやりとりに依存していますが、ソーシャル エンジニアリングは、本物の問題と解決策のように見えるものを同時にユーザーに提示できるほど洗練されています。これにより、ユーザーは関連するリスクを十分に評価せずに性急に行動せざるを得なくなります。情報セキュリティ研究者は、これらの攻撃で使用されるペイロードをいくつか特定しており、その中にはDarkGate 、 Matanbuchus 、 NetSupport 、 Amadey Loader 、 XMRig 、クリップボード ハイジャッカー、 Lumma Stealerなどがあります。
不正なスクリプトがユーザーのデバイスにマルウェアをドロップ
アナリストは、主に初期段階で区別される 3 つの異なる攻撃チェーンを特定しましたが、最初のチェーンのみが TA571 と明確に関連付けられていません。
ClearFake と関係のある脅威アクターに関連するこの最初のシナリオでは、ユーザーは侵害された Web サイトにアクセスし、Binance の Smart Chain 契約を介してブロックチェーン上にホストされている悪意のあるスクリプトをロードします。これらのスクリプトはチェックを実行し、Web ページの表示に問題があると主張する偽の Google Chrome アラートをトリガーします。次に、ダイアログは訪問者に PowerShell スクリプトを Windows クリップボードにコピーし、Windows PowerShell (管理者) コンソールで実行して「ルート証明書」をインストールするように促します。
PowerShell スクリプトは、実行されると、ターゲット デバイスを検証します。次に、DNS キャッシュのフラッシュ、クリップボードの内容の消去、注意をそらすメッセージの表示、リモート PowerShell スクリプトのダウンロードなどのアクションを実行します。次に、このスクリプトは、情報を盗むペイロードのダウンロードを開始する前に、VM 対策チェックを実行します。
クリックフィックスとルアーメールが代替攻撃チェーンとして利用される
2 番目の攻撃チェーンは「ClickFix」キャンペーンにリンクされており、侵害されたサイトで Web サイト インジェクションを利用して、偽の Google Chrome エラーを表示する iframe オーバーレイを作成します。ユーザーは「Windows PowerShell (管理者)」を開いて提供されたコードを貼り付けるように指示され、前述のものと同じ感染が発生します。
もう 1 つの感染方法は、Microsoft Word 文書に似た HTML 添付ファイルを使用した電子メールベースの攻撃です。ユーザーは、文書を正しく表示するために「Word Online」拡張機能をインストールするよう求められます。エラー メッセージには、「修正方法」と「自動修正」のオプションがあります。「修正方法」を選択すると、base64 でエンコードされた PowerShell コマンドがクリップボードにコピーされ、PowerShell に貼り付けるようユーザーに指示されます。「自動修正」では、search-ms プロトコルを使用して、リモートの攻撃者が制御するファイル共有から WebDAV でホストされている「fix.msi」または「fix.vbs」ファイルを表示します。これらのインスタンスでは、PowerShell コマンドによって MSI ファイルまたは VBS スクリプトがダウンロードされて実行され、それぞれ Matanbuchus または DarkGate による感染につながります。
これらの攻撃を通じて、脅威アクターは、システム上で PowerShell コマンドを実行することに伴うリスクに関するユーザーの認識不足を悪用します。また、貼り付けられたコードによって引き起こされる有害なアクションを Windows が検出して防止できないことも悪用します。
研究者が観察した多様な攻撃チェーンは、TA571 が効果を高め、より多くのシステムに感染するための追加経路を発見するために、さまざまな方法を積極的に模索していることを示しています。この適応型アプローチは、サイバー犯罪者が戦術を進化させ、サイバーセキュリティ環境内での影響力を拡大することに注力していることを強調しています。
