サイバーセキュリティ研究者らが、ClickFixマルウェアキャンペーンの高度な新たな波を発見しました。このキャンペーンは、ソフトウェア開発者や技術系専門家を標的にしています。
脅威アクターは、AnthropicのClaudeやOpenAIのCodexといった人気のAIツールになりすますことで、信頼されたインフラを悪用し、危険な情報窃取型マルウェアを配布しています。
開発者は普段からこうした高度なコーディングアシスタントを積極的に利用しているため、ソーシャルエンジニアリングの格好の標的となっています。攻撃者は悪意のあるランディングページをGoogle Sites上に直接ホストしています。
信頼性の高いsites.google.comドメインを使用することで、このキャンペーンはGoogleホスティングのインフラを自動的に信頼する多くの従来型Webフィルター、企業ファイアウォール、メールセキュリティゲートウェイをたやすく回避します。
このキャンペーンが特に深刻な理由は、非常に検知が難しいファイルレスの実行手法にあります。マルウェアはシステムメモリ上のみで動作し、正規のPowerShellトラフィックに偽装してネットワーク通信を行います。
これにより、ネットワーク侵害の初期段階における重要な局面で、セキュリティオペレーションセンター(SOC)チームによる検知が著しく困難になります。
この攻撃は、自動化されたエクスプロイトではなく、ユーザーの操作と欺瞞に大きく依存しています。被害者が偽のGoogle Sitesページにアクセスすると、偽のエラーメッセージや認証プロンプトが表示されます。
そのサイトはユーザーに対し、処理を続けるためにWindowsターミナルでMSHTAコマンドを手動でコピー&実行するよう指示します。
この実行チェーンはWindowsネイティブツールを利用する「環境寄生型(Living off the Land)」と呼ばれる手法に依存しているため、悪意ある動作が通常の管理作業に完全に溶け込んでしまいます。
情報窃取型マルウェアがメモリ上で起動すると、感染したマシンから即座に機密情報の収集を開始します。
このマルウェアはブラウザデータ、メールアプリケーションの認証情報、暗号資産ウォレット情報を特に標的にしています。盗まれたデータにより、攻撃者はアクティブなWebセッションを乗っ取り、多要素認証を回避し、金融資産を流出させることが可能になります。
データ収集後、マルウェアは攻撃者が制御するコマンド&コントロール(C2)サーバーへのアウトバウンド通信を確立します。
この情報流出トラフィックはすでに実行中のPowerShellプロセスを経由するため、ネットワーク防御担当者による従来型の検知機会がほとんど残りません。
脅威インテリジェンスのアナリストたちは、ANY.RUNマルウェアサンドボックスを使ってこのインフラを継続的に追跡しています。
セキュリティチームはこうしたサンドボックス環境を活用することで、ClickFixの完全な実行チェーンを安全に調査し、自組織の検知カバレッジを検証することができます。
PowerShellのステージング、ステガノグラフィーによる配信、認証情報窃取を制御された環境で観察することで、アナリストは重要な侵害の痕跡(IOC)を抽出できます。
このキャンペーンへの対策として、組織はファイルベースの検知ではなく、振る舞い監視に注力する必要があります。
セキュリティチームは、予期しないmshta.exeの実行にフラグを立て、PowerShellプロセスの不規則なアウトバウンドネットワーク接続を監視し、AIをテーマにしたClickFixフィッシングページを追跡すべきです。
さらに、信頼されたドメインにホストされたものであっても、Webページからターミナルコマンドをコピー&ペーストすることの危険性について開発者を教育することが、ソーシャルエンジニアリング攻撃に対する最も効果的な第一の防衛線であり続けています。
翻訳元: https://cyberpress.org/claude-impersonation-targets-developers/
