サイバー犯罪者たちは、AIデベロッパーツールの急増する人気を悪用し、 SEOポイズニング によってAnthropicのClaude Codeの新規ユーザーを積極的に狙っています。
Howler Cellのセキュリティリサーチャーたちは、経験の浅い非技術系ユーザーを偽のインストールページへ誘導する巧妙なキャンペーンを発見しました。
これらの偽ページは「ClickFix」と呼ばれるソーシャルエンジニアリング手法を利用しており、ユーザーをだましてWindowsの「ファイル名を指定して実行」ダイアログ(Win+R)に悪意のあるコマンドを貼り付けさせます。
被害者の多くは、中小企業のオーナーや教師など、ソフトウェアを初めて扱う開発者であるため、正規のインストールがどのようなものかを把握していません。
そのため、プロンプトへのコマンド貼り付けが正当なセットアップ手順に見えてしまいます。エンタープライズのセキュリティ制御やプロキシフィルタリングが存在しない環境では、攻撃はためらいなく実行され、資格情報の窃取やアイデンティティの侵害に直結します。
感染は、被害者が攻撃者の用意したコマンドを貼り付けた瞬間に始まります。このコマンドはmshta.exeを呼び出し、偽のソフトウェアアップデートドメイン(download.version-516[.]com)からペイロードを取得します。
検出を回避するため、攻撃者は巧妙な6.7 MBのMP3/HTAポリグロットファイルを使用します。このファイルは実際に再生可能なオーディオトラックとして機能しながら、内部には隠されたHTMLアプリケーション(HTA)スクリプトブロックが含まれています。
ファイルヘッダーのみを確認するセキュリティツールには正規のメディアファイルとして認識されるため、分析の優先度が下がりがちです。その結果、mshta.exeがファイルを線形に解析し、悪意のあるスクリプトを実行することが可能になります。
HTAスクリプトが実行されると、32ビットのPowerShellプロセスを起動するスケジュールタスクが作成されます。32ビットプロセスを標的にするのは意図的な回避戦術であり、エンドポイント検出システムはテレメトリの焦点を64ビットの動作に当てることが多いためです。
続いてPowerShellスクリプトが、メモリ内でAMSIにパッチを当ててセキュリティスキャンを無効化し、RC4キーを用いて隠された文字列を復号化した上で、コンピュータ名とユーザー名をハッシュ化することで被害者を識別します。
この固有ハッシュは、攻撃の次段階向けにカスタムの使い捨てURLを生成するために使用され、防御側による従来の静的IOC共有を事実上無力化します。
Cyderesの調査によると、ローダーはoakenfjrod[.]ruの特定のサブドメインに接続し、17 MBという大容量のPowerShellスクリプトをダウンロードします。
このファイルサイズの肥大化は偶然ではありません。サンドボックス環境を圧迫し、メモリ制限を超えさせ、自動分析ツールの機能を低下させるために意図的に設計されています。
スクリプトはすべてメモリ内で実行され、AMSI_RESULT_NOT_DETECTEDというキーを使用した特定のXORレイヤーをはじめ、複数の難読化レイヤーが施されています。
注記: IPアドレスおよびドメインは、誤って解決やハイパーリンクが作成されないよう、意図的にdefang処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してご使用ください。
翻訳元: https://cyberpress.org/fake-claude-deploys-infostealer/
