圧倒的な優位を誇るマルウェア配布手法、その名も「ClickFix」

4分で読めます

わずか2年の間に、ClickFixは新興のソーシャルエンジニアリング手法から、脅威アクターがマルウェア配布に用いる圧倒的な人気手法へと成長しました。

これは、ReliaQuestが3月1日から5月31日までの脅威活動を分析した調査結果によるもので、ClickFixが初期アクセスと防御回避のカテゴリーで際立って多用されていたことが分かりました。ClickFixは、2024年に初めて確認されたソーシャルエンジニアリング手法で、標的とした個人をだましてWindows Terminalなどのシステムダイアログに悪意あるコマンドをコピー&ペーストさせる手口です。

攻撃者は、CAPTCHA認証のようなエラーメッセージや確認プロンプトを標的に提示し、その中に問題を「修正」するためとうたったテキストベースのコマンドを仕込みます。この手法は従来のファイルスキャンやメールベースの防御をすり抜けてしまう、とReliaQuestは指摘しています。

過去2年間でこの手法にはいくつもの派生形が登場しています。ユーザーのブラウザを繰り返しクラッシュさせ、その「修復策」として悪意あるコマンドを提示する「CrashFix」や、検索エンジン最適化(SEO)ポイズニングを通じてAIモデルを悪用するものなどがそれに当たります。 

ReliaQuestは、この3カ月間でClickFix攻撃が増加しただけでなく、macOSへも手法が拡大していることを確認しました。ReliaQuestのサイバーセキュリティ専門家であるRaigridas Bartkus氏は、ブログ投稿の中で「これはもうClickFixを特殊なケースとして扱うことができなくなったことを意味する」と記しています。「トレーニングや検知、トリアージは、WindowsとmacOSの両方で継続的に実施すべきだ」としています。

ClickFix攻撃者、難読化で「Atomic」を武器に 

ReliaQuestの研究者は、macOSシステムを狙ったClickFix活動を初めて確認しました。最も明確な事例は、AMOSとしても知られるAtomic macOS Stealerを用いた攻撃です。macOS上でのClickFix活動は以前にも確認されていましたが、Bartkus氏によると、ここ数カ月でAMOSを展開する脅威アクターは、海賊版やクラック版ソフトウェアを装って被害者を誘い込む手口から方針を転換したといいます。

同氏は「この期間、彼らはapplescript://リンクを使う手口に切り替えた。このリンクはmacOSに標準搭載されているスクリプトアプリ『Script Editor』を自動的に開き、そこで攻撃者のコマンドを実行させる」と記しています。「この変更はおそらく、ユーザーがTerminalコマンドラインアプリにコマンドを貼り付けた際にmacOS 26.4で追加された警告を回避するために設計されたものだ。この警告はScript Editorでは表示されない」としています。

これは、セキュリティチームがmacOSシステムを「Windowsと同等の監視・対応体制」で守る必要があることを意味する、とBartkus氏は記しています。

ReliaQuestのレポートはまた、この3カ月間でClickFix攻撃がコマンドおよびファイルの難読化技術を通じて防御回避活動全体の約28%を占めていたことも指摘しています。同社は特に、「Deepload」マルウェアを配布するために設計された特定のClickFixローダーに注目しました。Bartkus氏によると、このローダーはおそらくAI生成による難読化を利用し、マルウェアのロジックを日常的なスクリプトのように見せかけた何千もの変数代入の中に隠しているといいます。

「これにより攻撃者は新しい亜種をより速く生み出せるようになり、防御側がシグネチャを適応させるまでの時間を短縮させてしまう」と同氏は付け加えています。

ClickFix攻撃者、開発者を標的に

ReliaQuestが確認した注目すべき傾向の一つは、ClickFix活動が侵害されたWebサイト経由の配布から、メールで送られるリンク経由へと移行しているように見えることです。この変化がなぜ起きたのかは明らかではありませんが、Bartkus氏は理論上これが防御側に有利に働くと指摘しています。「メールによる誘導は、クリックされる前にゲートウェイやリンクの書き換え、サンドボックス処理といった仕組みを通過しなければならないメールパイプラインを経由する必要があるからだ」としています。

こうした変化があったにもかかわらず、ReliaQuestは攻撃者が初期アクセスを獲得するためにさまざまな効果的なClickFixの手口を使っていることを確認しました。例えば、従来型の偽CAPTCHAや確認プロンプトは引き続きWindows上で活発に使われている一方、研究者はmacOSユーザーを狙った偽のソフトウェアインストールガイドも確認したと、同社の広報担当者は述べています。

ReliaQuestはまた、Google Ads経由で開発者向けツールを装ったマルバタイジング(不正広告)キャンペーンも確認しています。最も多いのは「claude code install」や「homebrew install」を装ったものです。ユーザーがスポンサー付き検索結果をクリックすると、偽のインストールページがエラー画面を表示し、悪意あるコマンドをコピー&ペーストするよう指示します。 

「開発者を狙ったマルバタイジングは、それが及ぶ対象層を考えると最もリスクの高い派生形として際立っている」と、ReliaQuestの広報担当者はDark Readingに語っています。「複数の確認済み事例では、侵害されたホスト上のプロセス環境変数にnpmやBitbucketのトークンが露出していることが判明した。これは、標的設定がまさに狙い通りのユーザーに命中していることを物語っている」としています。

同広報担当者はさらに、ClickFixが単発の配布手段というよりも、モジュール式のポストエクスプロイテーションへの足がかりとしての様相を強めつつあると指摘しています。ReliaQuestは、脅威アクターが一度のコマンド貼り付けだけでドメイン列挙を行い、マルウェアを一切投下することなく永続的なアクセスを確立した事例をいくつも確認しました。 

こうした攻撃を防ぐため、Bartkus氏は、組織がWindowsとmacOSの両方でユーザーに対し、Run、Terminal、Script Editorへのコマンド貼り付けを控えるよう教育し、ClickFixの誘導を模擬した訓練を実施して従業員にこの脅威を周知させることを推奨しています。 

もう一つの選択肢は、Run、Terminal、Script Editorへのユーザーアクセスを制限することで、これは一般的な従業員にとっては妥当な対策だと同広報担当者は述べています。しかし、この方法が誰にでも適しているわけではありません。「開発者や技術スタッフに対してこれらのツールを完全にブロックすると、業務に支障をきたしすぎてしまう。これらは中核的な業務ツールであり、人々は必ず回避策を見つけ出す。ブロックするのではなく、記録してアラートを出すほうがより良いアプローチだ」としています。

同広報担当者はさらに、「例えばbase64デコード、curlによる取得、PowerShellやosascriptの実行が一連の流れとして発生するような活動を監視することが、開発環境において確実に異常な挙動を示す指標となるだろう」と付け加えています。

翻訳元: https://www.darkreading.com/vulnerabilities-threats/winner-dominant-malware-delivery-clickfix

ソース: darkreading.com