新たなClickFix マルウェアキャンペーンが、Amazonというブランドの信頼性を逆手に取り、同社の顧客を標的にしています。この手口を発見したのは、Cofense Phishing Defense Centerの研究者たちです。この攻撃の特筆すべき点は、被害者自身にマシンを感染させてしまうことにあります。Cofenseによると、攻撃者はユーザーを自らの感染の媒介にしてしまう
とのことです。最終的なペイロードは、HarborWatch Agentと呼ばれるカスタムのリモートアクセス型トロイの木馬(RAT)です。
信頼されたブランドと偽アラート
攻撃はフィッシングメール1通から始まります。件名にはSecurity alert: Login activity anomaly notification
と記載されています。メッセージはAmazonのセキュリティチームを装っており、不審なアクティビティ
を理由にアカウントがロックされたと主張しています。さらに、緊急感を演出するために偽のログイン情報まで記載されています。
目立つ「Verify Account Information」ボタンが、受信者に行動を促します。
ClickFix の罠
そのボタンをクリックすると、被害者は本物そっくりの偽ドメインへ誘導されます。そこでは見慣れたCAPTCHAチェックを模したページが表示されますが、その動作は不審なものです。画像を選択する代わりに、ユーザーにコマンドの実行を求めます。
ユーザー自身を攻撃の道具に
ページは被害者をいくつかの短い手順へと誘導します。まず、Windowsの「ファイル名を指定して実行」ダイアログを開くよう指示します。次に、クリップボードの内容を貼り付けてEnterキーを押すよう求めます。ユーザーには知らされていませんが、クリップボードにはすでに隠されたPowerShellコマンドが仕込まれています。その結果、被害者は自らの手で感染を引き起こしてしまいます。この「自己感染」という仕掛けこそが、あらゆるClickFix マルウェアキャンペーンに共通する特徴です。
感染チェーンの内部構造
隠されたコマンドはバックグラウンドで静かに実行されます。難読化された文字列を解読し、次のスクリプトをダウンロードします。そのスクリプトは「mysql.exe」に偽装したファイルを取得し、一時フォルダに保存します。その後、特定のパスワード引数を付けてファイルを実行します。この引数がなければペイロードは起動しないため、解析者による調査が困難になっています。
HarborWatch Agent の正体
最終段階では、HarborWatch Agent RATが実行されます。起動すると、コマンド&コントロール(C2)サーバーへ定期的に通信を行います。そこからシステム情報を密かに収集し、ホスト名、CPU数、ディスク使用量、稼働時間などを取得します。また、隠されたAPIエンドポイントを通じて新たなタスクを要求します。
Harbor Sentinel パネル
CofenseはC2サーバーを追跡し、中国語の管理パネルに行き着きました。「Harbor Sentinel」と名付けられたこのパネルは、オペレーターが感染ホストを監視するためのものです。つまり、HarborWatch Agentがスパイ活動を担い、Harbor Sentinelがダッシュボードを提供するという仕組みになっています。
この脅威が重要な理由
今回のClickFix マルウェアキャンペーンは、ソーシャルエンジニアリングが絶えず進化していることを示しています。危険な添付ファイルの代わりに、攻撃者は被害者を自己感染へと巧みに誘導します。その結果、従来のメールフィルターでは脅威を完全に見逃してしまう恐れがあります。
監視すべき侵害指標
防御側は、このキャンペーンに関連する既知のインフラをブロックする必要があります。誘導には、amazonassist[.]xyzやamazonattention[.]comといった本物そっくりの偽ドメインが使用されています。また、ペイロードは185.193.127.44へ通信を行います。さらに、セキュリティチームはAppData Tempフォルダ内の不正なmysql.exeを探すことも有効です。
身を守るために
アカウントに関する緊急の警告には、常に懐疑的な目を向けてください。「ファイル名を指定して実行」ダイアログに見知らぬコマンドを貼り付けることは絶対に避けてください。何より、Amazonからのアラートはメールのリンクからではなく、公式サイトから直接確認することが重要です。
翻訳元: https://meterpreter.org/clickfix-harborwatch-agent/
