DriveSurgeは、正規のウェブサイトを侵害し、トラフィック配信システム(zTDS)を活用して各訪問者に最適な悪意あるコンテンツを配信する、巧妙なウェブベースのキャンペーンです。
攻撃者の目的は、ソーシャルエンジニアリングを駆使したマルウェアの配布です。具体的には、偽のブラウザアップデートページへ誘導する手口(FakeUpdates)か、「修正コマンド」をターミナルやPowerShellウィンドウに貼り付けさせる手口(ClickFix)のいずれかを用います。
いずれの手法も、利用者が日頃から信頼している馴染みのサイト、ブラウザ、そして通常のセキュリティプロンプトへの信頼心を巧みに悪用しています。
初期侵害の段階では、DriveSurgeが中小企業や専門事務所、地域団体などのサードパーティサイトに悪意あるJavaScriptを注入します。これにより、普段どおりの閲覧行為がペイロードローダーのトリガーとなります。zTDSによるプロファイリングでは、注入されたスクリプトがブラウザをzTDS(トラフィック配信システム)へ誘導します。
zTDSは訪問者のOS、ブラウザ、IPアドレス、リファラー、ASNなどを解析し、最も成功確率の高い誘導コンテンツを選定します。主な誘導手口は2種類あります。
FakeUpdatesは、被害者のブラウザ(Chrome、Firefox、Edge、Safari、Opera、Brave、Yandex、Vivaldi、Samsung Internet、UCブラウザ、またはその他)に合わせて作り込まれた、本物そっくりのブラウザアップデートページを表示します。アップデートボタンをクリックすると、DLLファイルとトロイの木馬化された実行ファイルを含むZIPがダウンロードされます。一方、ClickFixは偽のエラーメッセージを表示し、「修正コマンド」を貼り付けるよう誘導します。この貼り付けコマンドは実際にはダウンローダーを実行し、マルウェアをインストールします。
DriveSurgeのスクリプトは、Base64エンコード、atob関数、同期XHRなどによる高度な難読化と選択的ターゲティングを採用しています。
あるext-bパターンの解析から、macOSデスクトップ環境の検出、タッチ操作可能なデバイスの除外、偽の「私はロボットではありません」操作によるクリップボードの乗っ取り、そしてBase64でラップされたシェルコマンドへの置き換えといったロジックが判明しました。このコマンドが貼り付けられると、段階的なmacOSペイロードが静かにダウンロード・実行されます。アナリストはペイロードURLと対応するSHA256ハッシュを回収しており、マルウェアはその後、C2サーバー(147[.]45[.]42[.]205:8133)へコールバックを行うことが確認されています。
Silentpushの調査によると、このキャンペーンは徹底した運用上の隠蔽工作を行っています。登録には使い捨てメールプロバイダーを使用し、複数のバックアップドメインやサーバーフェイルオーバーを用意し、TDS内でボット・ASNフィルタリングを実施するほか、自動検出を回避するための難読化も施しています。また、このインフラに紐づく広告配信システム(banerpanel[.]live)の存在も確認されており、一見無害に見える広告パネルが人間の操作後にのみ悪意あるバナーを配信する仕組みに転用されている実態が明らかになっています。
DriveSurgeは、攻撃者が日常的なウェブサイトやUIの要素への信頼を武器にする傾向が根強く続いていることを改めて示しています。インテリジェントなトラフィック誘導とターゲット型ソーシャルエンジニアリングを組み合わせた手法は、今後も脅威であり続けるでしょう。
本キャンペーンの検出には、ウェブリソースのテレメトリー、ドメイン・WHOISのピボット分析、エンドポイント監視を組み合わせ、FakeUpdatesとClickFix双方の手口が成功する前に阻止する体制が求められます。
注記: IPアドレスおよびドメインは、意図せぬ名前解決やハイパーリンクを防ぐため、意図的にデファング処理(例:[.])されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム上でのみ、元の表記に戻して使用してください。
翻訳元: https://cyberpress.org/drivesurge-deploys-clickfix-malware/