複数の研究者が、進行中のClickFixキャンペーンにおける新たな展開を指摘しています。攻撃者は現在、Windowsのアップデート画面を模倣し、人々を騙してマルウェアを実行させようとしています。
ClickFixキャンペーンは、これまで「人間認証」画面などの巧妙な誘導を使ってきましたが、現在は本物そっくりの「Windowsアップデート」スプラッシュページを使用しています。どちらも、ユーザーがクリップボードからコマンドを貼り付けることを要求し、攻撃がユーザーの操作に大きく依存しています。
Joe Securityが示したように、ClickFixは現在、Windowsアップデートそっくりにデザインされたページで偽の指示を表示しています。
フルスクリーンモードでは、Windowsを使用している訪問者に対し、悪意あるコマンドを「ファイル名を指定して実行」ボックスにコピー&ペーストするよう指示が表示されます。
「アップデートを実行中です。コンピューターの電源を切らないでください。
パート3/3:セキュリティの確認
95%完了注意!
アップデートを完了するには、
重要なセキュリティアップデートをインストールしてください[… その後、「ファイル名を指定して実行」ボックスを開き、クリップボードから「何か」を貼り付け、OKを押して実行する手順が続きます]
攻撃者が実行させようとしている「何か」とは、mshtaコマンドであり、これがマルウェアドロッパーをダウンロード・実行します。通常、最終的に配布されるのはRhadamanthysインフォスティーラーです。
技術的詳細
ユーザーが表示された指示に従うと、以下の感染チェーンが開始されます:
- 第1段階:
mshta.exeがスクリプト(通常はJScript)をダウンロードします。URLは一貫して2番目のオクテットを16進数でエンコードし、署名ベースのブロックリストを回避するためにURIパスを頻繁に変更します。 - 第2段階:スクリプトがPowerShellコードを実行します。これは解析を混乱させるために不要なコードで難読化されています。
- 第3段階:PowerShellが.NETアセンブリを復号・ロードし、ローダーとして機能します。
- 第4段階:ローダーが、カスタムステガノグラフィを使用してリソース画像内に隠された次の段階(悪意あるシェルコード)を抽出します。要するに、ステガノグラフィとは、疑いを持たれにくいものの中に秘密のメッセージを隠すあらゆる技術のことです。この場合、マルウェアはPNGファイル内の特定のピクセルの色情報に埋め込まれており、検出が困難です。
- 第5段階:シェルコードは、
explorer.exeなどの信頼されたWindowsプロセスに、VirtualAllocEx、WriteProcessMemory、CreateRemoteThreadといった従来のメモリ内技術を使ってインジェクトされます。 - 最終ペイロード:最近の攻撃では、LummaC2(Huntressによる設定抽出ツール付き)やRhadamanthysインフォスティーラーなどの情報窃取型マルウェアが配布されています。
ClickFixで使われているステガノグラフィの詳細:
悪意あるペイロードは、PNGのピクセル色情報(特に赤チャンネル)に直接エンコードされています。カスタムのステガノグラフィアルゴリズムで生のPNGファイルからシェルコードを抽出します。
- 攻撃者は、マルウェアの一部を画像のピクセル、特に赤チャンネル(各ピクセルの赤色成分)に巧妙に変更して密かに挿入します。
- 画像を見ている人には、まったく普通の画像にしか見えません。何か特別なものだと気づく手がかりはありません。
- しかし、マルウェアスクリプトが実行されると、画像のどこに隠されたデータがあるかを正確に「知って」います。
- スクリプトはこのピクセルデータを抽出・復号し、断片をつなぎ合わせてマルウェアを直接コンピューターのメモリ上で再構築します。
- マルウェアが明示的なファイルとしてディスクに保存されず、無害そうな画像の中に隠されているため、アンチマルウェアやセキュリティプログラムによる検出がはるかに困難です。
安全を守るには
ClickFixが猛威を振るっており、すぐには終息しそうにありません。だからこそ、注意を払い、慎重に行動し、防御策を講じることが重要です。
- 落ち着いて行動しましょう。ウェブページやプロンプトの指示に急いで従わないでください。特に、デバイス上でコマンドを実行したり、コードをコピー&ペーストするよう求められた場合は要注意です。攻撃者は緊急性を煽って冷静な判断を鈍らせようとします。即時の行動を促すページには警戒しましょう。高度なClickFixページはカウントダウンやユーザー数表示などでプレッシャーをかけてきます。
- 信頼できないソースのコマンドやスクリプトは実行しない。ウェブサイト、メール、メッセージからコピーしたコードやコマンドは、ソースを信頼し、その内容と目的を理解していない限り絶対に実行しないでください。指示は必ず独自に確認しましょう。ウェブサイトがコマンドの実行や技術的な操作を求めてきた場合は、公式ドキュメントを確認するか、サポートに問い合わせてから進めてください。
- コマンドのコピー&ペースト利用を控える。コマンドを手入力することで、コピーしたテキストに隠された悪意あるペイロードを知らずに実行してしまうリスクを減らせます。
- デバイスを保護しましょう。ウェブ保護機能付きの最新のリアルタイムアンチマルウェアソリューションを使用してください。
- 進化する攻撃手法について学びましょう。攻撃が予想外の経路からやってきたり進化することを理解しておくと、警戒心を保てます。ぜひ当ブログを読み続けてください!
プロのヒント:無料のMalwarebytes Browser Guard拡張機能は、ウェブサイトがクリップボードに何かをコピーしようとしたときに警告してくれることをご存知ですか?
