複数ライセンス割引見積
脅威データベース マルウェア JackFixマルウェアキャンペーン

JackFixマルウェアキャンペーン

マルウェアMezoまで
翻訳内容:

最近の調査では、ClickFix型のソーシャルエンジニアリングを悪用した攻撃が増加していることが浮き彫りになっています。これらの手口は、多くの場合、巧妙に仕組まれた技術的なプロンプトを用いて、被害者に有害なコマンドを自ら実行させることに特化しています。最新の攻撃では、この手口をさらに巧妙に進め、偽のアダルトサイトや偽のWindowsアップデート通知と組み合わせることで、セキュリティチームがJackFixと呼ぶ、高度に操作的な感染チェーンを形成しています。

アダルト向けフィッシングポータルが侵入口となる

このキャンペーンは、マルバタイジングなどのリダイレクト手法を用いて、有名プラットフォームに似せて作成された偽のアダルトサイトから始まり、ユーザーがこれらのページにアクセスすると、Windowsの重要なセキュリティ通知を装った緊急アップデートメッセージが表示されます。アダルトテーマは心理的プレッシャーを増幅させ、突然のアップデート通知がもっともらしく見えるように見せかけ、ユーザーがその信憑性を疑うことを思いとどまらせます。

これらのサイトのいくつかの亜種にはロシア語の開発者のコメントが含まれており、ロシア語を話す脅威グループとのつながりの可能性を示唆しています。

欺瞞的なフルスクリーン更新アラート

訪問者が不正なページにアクセスすると、HTMLとJavaScriptのコンポーネントが瞬時にWindows Updateダイアログを模倣したフルスクリーンのダイアログを起動します。インターフェースは青い背景とシンプルな白いテキストを使用し、緊急性の高いシステムメッセージのスタイルを模倣しています。JavaScriptはフルスクリーンモードの強制を試み、追加のコードによってEsc、F11、F5、F12などの一般的なエスケープキーをブロックすることで、ユーザーを偽のアップデート画面に閉じ込めようとします。
それにもかかわらず、実装エラーにより、Esc キーと F11 キーが引き続き機能し、ユーザーに回避策が提供されることになります。

この欺瞞の核心は、被害者に表示される指示にあります。Windowsの「ファイル名を指定して実行」ダイアログを開き、事前にコピーしたコマンドを貼り付けて実行するだけです。これらの手順に従うことで、悪意のあるペイロードが起動し、侵入が開始されます。

ClickFixの優位性と攻撃の進化

ClickFix型の活動は急増しており、記録されている初期アクセスイベントのほぼ半数を占めています。従来、このような脅威はCAPTCHAチェックやトラブルシューティングプロンプトを偽装していました。JackFixキャンペーンは、より没入感がありシステムのようなルアーへのシフトを示しており、攻撃者がユーザー支援型コード実行を実現するために、心理的操作を継続的に洗練させていることを示唆しています。

階層的難読化とコマンドトリガーによるペイロード配信

被害者のマシンで最初に実行されるコマンドは、mshta.exe を利用して、JavaScript を含む MSHTA ペイロードを実行します。このスクリプトは、リモートサーバーから別の PowerShell ステージを取得する PowerShell コマンドを呼び出します。監視を回避するため、関連するドメインは、手動でアクセスすると Google や Steam などの無害なサイトにリダイレクトされます。irm や iwr などの特定の PowerShell コマンドを介して行われたリクエストのみが悪意のあるレスポンスをトリガーするため、分析の障壁が大幅に高まります。

ダウンロードされたPowerShellスクリプトには、ジャンクコード、隠蔽されたロジック、リバースエンジニアリングを妨害するためのチェックなど、高度な難読化が施されています。また、権限昇格を試み、C2エンドポイントとステージングディレクトリに関連付けられたウイルス対策の除外設定を追加します。

強制的な権限昇格とペイロードの展開

権限の昇格は、Start-Processコマンドレットに-Verb RunAsパラメータを指定して実行され、管理者権限が付与されるまで被害者に繰り返しプロンプトを表示します。権限が昇格されると、スクリプトは追加のコンポーネントを展開します。これらのコンポーネントの多くは、C2サーバーに接続してさらなるマルウェアを取得するように設計された軽量のリモートアクセス型トロイの木馬です。

多様なスティーラーとローダーの武器庫

このマルウェアは、以下を含む最大 8 つの異なるペイロードを配信することが確認されています。

  • ラダマンティス・スティーラー、ヴィダール・スティーラー 2.0、レッドライン・スティーラー、アマディ
  • 後続の脅威を仕掛けるために使用されるその他のローダーとRAT

たった一度の実行が成功するだけでも、機密データが危険にさらされる可能性があります。被害者は認証情報、暗号資産、その他の個人情報の漏洩に直面することになります。また、特定のローダーは、攻撃者がより強力なマルウェアを使って侵入を拡大することを可能にし、被害を大幅に拡大します。

トレンド

UPS - 発送詐欺への対応が必要です

フィッシング, スパム
サイバー犯罪者は、フィッシング詐欺を配送状況の最新情報に見せかけるのが常套手段です。UPSの「配送状況の確認が必要です」詐欺はその好例です。信頼できる配送業者から送信されたように見えますが、実際には正規の企業、組織、サービスプロバイダーとは一切関係がありません。このメールは実際の配送通知を模倣し、受信者を騙して機密情報を漏洩させたり、有害なコンテンツに触れさせたりします。 詐欺メッセージを詳しく見る この詐欺メールは、配送情報が不足しているか料金が未払いのため遅延しているという内容の、配送保留通知を装っています。その虚偽の主張を補強するため、メッセージには偽の追跡データ、偽りの緊急性、そ...

メッセージ配信承認が必要な詐欺

フィッシング, スパム
サイバー犯罪者は、受信者を騙して機密情報を入手するために、信憑性のあるメールのルアー(おとり)を使い続けています。最近の例の一つに、「Message Delivery Authorization Required Scam(メッセージ配信の承認が必要詐欺)」があります。これは、通常の受信トレイの通知を模倣し、ユーザーを誘導してアカウント認証情報を引き出させるものです。これらのメッセージは一見するとプロフェッショナルな印象を与えますが、正当な企業、組織、またはサービスプロバイダーとは一切関係がありません。 日常的なメール管理を装った欺瞞的な前提 詐欺メールには、受信者が承認待ちの保留中のメ...

Avanzi ランサムウェア

ランサムウェア
潜在的に脅威となるソフトウェアを調査する過程で、サイバーセキュリティ研究者は、Avanzi と呼ばれるランサムウェアの亜種を特定しました。コンピュータへの侵入に成功すると、Avanzi はファイルの暗号化、ファイル名の変更、被害者への身代金メモの表示、「info.txt」ファイル内に追加メモの生成など、一連の有害なアクションを実行します。 感染すると、Avanzi はファイル名に特定の要素、...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
47,921
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Discord 灰色の画面で立ち往生

問題
38,221
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
35,624
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...