- ClickFixは現在、OS検出・タイマー・ビデオガイドを利用してマルウェア配布の成功率を向上
- 攻撃者は侵害されたサイトにポップアップをホストし、Googleのマルバタイジングで宣伝
- 被害者は、システムダイアログ内の偽の問題/解決策の指示によりマルウェア実行を騙される
悪名高いマルウェア配布手法として知られるClickFixが進化しており、現在はタイマー、ビデオ指示、被害者のオペレーティングシステムの自動検出機能を備えていると、専門家が警告しています。
ClickFixは「問題/解決策」方式を利用したマルウェア配布詐欺です。まず「問題」を特定し、その後「解決策」を提示します。その「問題」は「あなたのコンピュータがマルウェアに感染しています」から「コンテンツを閲覧したい場合はこのCAPTCHAを解決してください」まで様々です。解決策はほぼ例外なく、Windowsの「ファイル名を指定して実行」(またはLinux/macOSの同等機能)にコマンドをコピー&ペーストさせ、マルウェアドロッパーを展開し、その結果インフォスティーラーやさらに悪質なものを実行させるというものです。
通常、解決策の指示は「問題」ポップアップに記載されていましたが、サイバーセキュリティ研究者のPush Securityは最近、ビデオ指示付きの攻撃を観測しました。これは全体のプロセスをより疑わしくなく、信頼できるものに見せるためのものです。また、過去1時間に「認証」した人数を偽装したカウンターも表示されており、これも信頼性を高める仕掛けと考えられます。
乗っ取られたウェブサイトとマルバタイジング
同時に、このポップアップには1分間のタイマーも付いており、被害者に考える間を与えず、急いで行動させようとします。
さらに、新しいClickFixスクリプトはまず被害者がどのオペレーティングシステムを使っているかを確認し、それに応じたビデオや適切な指示を表示してマルウェアをダウンロードさせます。
ClickFixのポップアップはどこかにホストする必要があり、通常は正規だが侵害されたウェブサイトが利用されます。Push Securityによると、今回のキャンペーンでは攻撃者がサイトを侵害しただけでなく、Google検索でマルバタイジングキャンペーンも展開していました。
ClickFixへの対策は変わりません。クリックする前に一度立ち止まって考えること、オペレーティングシステムやソフトウェアを最新に保つこと、信頼できるアンチマルウェアソリューションを利用することが重要です。
