- SilentPushの研究者が大規模ClickFix キャンペーン「DriveSurge」を発見
- 標的とされた訪問者に、プロファイリングに応じてClickFix またはFakeUpdatesを提供
- 取得したアクセス権をダークウェブで販売
現在進行中のClickFix キャンペーンによって、数千台のコンピューターがバックドア型マルウェアに感染していることが明らかになりました。セキュリティ研究機関のSilentPushが報告したもので、攻撃者はこうして不正に取得したシステムへのアクセス権をダークウェブで販売しているといいます。
「DriveSurge」と名付けられたこのキャンペーンは、セキュリティ対策が不十分なウェブサイトから始まります。攻撃者はこれらのサイトに悪意のあるスクリプトを仕込み、訪問者の情報を「zTDS」と呼ばれるリモートのトラフィック配信システム(TDS)へ送信します。そこで訪問者のプロファイリングが行われ、標的と判断された場合にはzTDSサーバーがスクリプトに指示を出し、ClickFix のオーバーレイ画面を表示させる仕組みです。
ボットや研究者に対しては、検知を避けるために正規のウェブページが表示されます。
数千サイトの悪用
プロファイリングの結果に応じて、被害者にはClickFix またはFakeUpdatesのいずれかが提示されます。最終的な目的は同じで、手口に若干の違いがあるだけです。どちらの場合も、「ブラウザが古い」といった問題が表示されます。ClickFix では、その解決策としてWindowsの「ファイル名を指定して実行」やターミナルへのコマンド貼り付けを促します。一方のFakeUpdatesでは、マルウェアをインストールする実行ファイルが直接配信されます。
いずれのケースでも、最終的に被害者のシステムにはバックドアが仕込まれ、攻撃者による無制限のアクセスが可能になります。取得したアクセス権はその後ダークウェブで他のグループに販売され、データの窃取、個人情報詐取、電信詐欺、ランサムウェア攻撃など、さまざまな目的に利用されます。
今回のキャンペーンで悪用されているウェブサイトの正確な数は公開されていません。ただしSilentPushによれば、攻撃者は「数千」のサイトを侵害しており、DriveSurge キャンペーン全体が非常に大規模に展開されているとのことです。同社のレポートでは「zTDSを用いることで、DriveSurgeは信頼性の高い正規サイトを数千件にわたって乗っ取り、サイト運営者や訪問者が気づかないまま、マルウェアへのリダイレクトを密かに行っている」と述べています。
ClickFix やFakeUpdatesによる攻撃への対策は比較的シンプルです。アップデートは必ず信頼できる公式ソースから入手し、ウェブサイトの指示に従って「ファイル名を指定して実行」やターミナルにコマンドを貼り付けることは絶対に避けてください。
