by
Nam Phong
·
Published
· Updated
広告ブロック拡張機能として人気の高い「uBlock Origin」に、ユーザーを保護するための新機能が追加されました。悪意のある「ClickFix」ポップアップを表示するWebサイトを検知し、ブロックできるようになったのです。この種のサイトは、訪問者を騙して自身の端末上で危険なコマンドを実行させようとします。
新しいフィルターの内容
開発者は、拡張機能のルールセットに複数の新しいフィルターを追加しました。これらのフィルターは、この種の攻撃に関連するネットワークリクエストやWebページをブロックします。ルールは、攻撃者がAPIやスクリプト、フォームを使って悪意のあるコンテンツを読み込ませたり、データを窃取したりする既知の手口を対象としています。
uAssetsリポジトリ内の新しいClickFixフィルタールールを確認すれば、どのドメインとパターンが今回ブロック対象になったのかを正確に把握できます。
「ClickFix」とは
ClickFixは、広く使われているソーシャルエンジニアリングの手口です。偽のエラーメッセージや偽のセキュリティチェック、あるいはそれに類する指示をユーザーに表示します。その後、ページはユーザーに対し、あるコマンドをシステムのターミナルにコピー&ペーストするよう求めます。その結果、被害者は気づかないうちに自分の端末上でマルウェアを実行してしまうのです。
BNB Chainテストネット向けフィルターも追加
新しいフィルターにより、uBlock OriginはClickFixのインフラの一部を認識できるようになりました。悪意のあるコンテンツが読み込まれる前に、危険なリクエストをブロックします。
開発者はさらに、専用のフィルターも追加しています。これは、ある関連攻撃の手口に登場したBNB Chainテストネットへの接続を検知し、遮断するものです。
今回のフィルターの限界
今回の対策は、既知の攻撃シグネチャに基づくものです。そのため、ClickFixのあらゆる亜種を防げるわけではありません。攻撃者は絶えずドメインを変え、悪意のあるコマンドの配布方法を変化させています。とはいえ、今回追加された新しいフィルターは、すでに確認されている手口に対して、uBlock Originユーザーにもう一段の防御層をもたらすものと言えるでしょう。
翻訳元: https://meterpreter.org/ublock-origin-clickfix-protection/