出典:NorthScape(Alamyストックフォト経由)
ClickFix攻撃の新たなバリエーションが広まっており、これは組織が講じている一部の緩和策を回避するよう設計されています。
ClickFixおよびそのやや洗練された派生型であるFileFixは、ほとんど説明がつかないほど巧妙に操作することで悪名高い攻撃です。攻撃者は、被害者に普段は絶対に実行しないコマンドを自分のコンピュータで実行させます。
現在、「JackFix」と呼ばれる新たな亜種が登場し、被害者が実行させられる奇妙な行動により論理的な文脈を与えています。JackFixは心理的なトリックを最大限に高め、不安を煽るフィッシングの誘導と昔ながらの画面ロックを組み合わせています。また、セキュリティ対策を欺くためのシンプルな技術的トリックもいくつか備えています。
その結果、JackFixに関する報告がVirusTotalに数百件も寄せられています——「最近見た他の[ClickFix]キャンペーンよりもはるかに多い」とAcronisのシニアセキュリティリサーチャー、Eliad Kimhy氏は報告しています。これらの報告は主に米国に集中していますが、ヨーロッパ全体にも広がっています。
JackFixのフィッシング誘導
従来のClickFix攻撃では、被害者には何らかの偽の技術的問題が提示されます。これにより、被害者が果たすべきタスク——理解できないコードをWindowsの「ファイル名を指定して実行」ダイアログにコピー&ペーストする——に文脈が与えられますが、必ずしも心拍数が上がるようなものではありません。
被害者の注意を本当に引きつけ、冷静な判断を忘れさせるために、JackFixの背後にいるロシア語話者と思われるサイバー犯罪者は、古いハッカーの手口を利用しました。
マルバタイジングやその他のフィッシング手法を通じて、被害者は人気のアダルトサイトの偽バージョンに誘導され、ページに触れた瞬間にWindowsのブルースクリーンが表示されます。この画面は偽物ですが、本物のWindowsクリティカルアップデートを見事に再現しています。画面全体を覆い、偽の進捗カウンターや円を描くドットの読み込みアニメーションも含まれています。特定のキーボードショートカットもブロックされ、ユーザーが脱出できないようにしています。
Kimhy氏にとっては、かつての冷や汗をかくようなランサムウェア攻撃を思い出させるものです。「ランサムウェアの初期には、攻撃者はコンピュータのファイルを完全に人質に取る必要はなく、画面をロックして被害者に金銭を送らせようとするだけで十分だと気づいていました」と彼は書いています。パニックに陥ったユーザーは、普段しない行動——たとえば「ファイル名を指定して実行」ダイアログで悪意のあるコマンドを実行する——を取りやすくなります。また、この手法はあらゆる創造的な方向に展開でき、「従来のClickFix攻撃よりもはるかに説得力があり柔軟なものになる可能性がある」とKimhy氏は指摘しています。
JackFixがセキュリティ保護を回避する方法
たとえClickFix攻撃の人間の被害者が騙されたとしても、セキュリティプログラムがその穴を埋める方法はたくさんあります。
例えば、典型的なClickFix攻撃では、ウェブサイトが悪意のあるコードをユーザーのクリップボードにコピーし、それを実行する方法を指示します。理論上、文字列やパターンベースのルールは、クリップボードへのコピーを処理するスクリプトや、被害者が実行する既知の悪意ある動作を検知できるかもしれません。そこでJackFixは、クリップボードへのコピーに使うJavascriptと、ユーザーが実行すべき悪意のあるコマンドの両方を配列にエンコードし、実行時にメモリ上でのみ再構築します。
また、被害者が「ファイル名を指定して実行」ダイアログで攻撃者のコードを実行し、そのコードがURLを呼び出してマルウェアを取得する場合もあります。多くのネットワークセキュリティ保護が、既知の悪意あるURLへのトラフィックを検知してブロックする可能性があります。これに対し、JackFixのURLはコンテンツベースのフィルタリングを行い、アクセス元を2つのグループに分けます。訪問者が直接サイトにアクセスした場合、自動的にGoogleやSteamなどの無害なウェブサイトにリダイレクトされます。JackFix攻撃の流れを経てサイトに到達した場合のみ、その本性を現しマルウェアを配信します。これによりサイトの解析が難しくなり、脅威インテリジェンスツールによるタグ付けもされにくく、攻撃チェーン上で見られても悪意あるものとしてフラグされにくくなります。
そのURLからダウンロードされるPowershellスクリプトは大きく、静的解析を回避するためにデッドコードやランダムな変数名で高度に難読化されています。その後、ユーザーに管理者権限の付与を求め、承認するまでしつこく促します。Microsoft Defenderでさまざまな除外設定を自らに付与した後、最大8種類の商用マルウェアサンプルを一気に動員します。これにはサイバー地下市場で最も人気のあるインフォスティーラー——Rhadamanthys、Vidar 2.0、RedLine、Amadey——および複数のローダーが含まれます。Acronisはこれを「これまで見た中で最も悪質なスプレーアンドプレイの例」と評しています。
最終的に、JackFixが対応していないClickFixの緩和策も存在します。たとえば、組織はグループポリシー設定を使い、「ファイル名を指定して実行」を必要としない従業員に対して無効化することで、すべてのClickFix亜種に対応できます。またKimhy氏は「組織がブラウザのフルスクリーン化を制限できれば、この攻撃の多くの脅威を減らせるだろう」と付け加えています。
翻訳元: https://www.darkreading.com/threat-intelligence/jackfix-attack-clickfix-mitigations
