出典: Lane Erickson(Alamy Stock Photo経由)
ニュース速報
セキュリティ研究者が、WindowsのMark of the Web(MoTW)保護を回避しつつ、脅威アクターが悪意のあるスクリプトを実行できるFileFix攻撃チェーンを発見しました。
ClickFixは、ウェブページ上に表示される悪意のあるコードを利用したソーシャルエンジニアリング攻撃であり、ユーザーにエラー修正を促すものです。reCAPTCHAチャレンジを実行するよう誘導します。ユーザーがプロンプトをクリックすると、悪意のあるコマンドが自動的にクリップボードにコピーされ、Windowsの「ファイル名を指定して実行」プロンプトに貼り付けて実行するよう指示されます。
昨年、ドメインレジストラのGoDaddyは、ClickFixの感染が1日で6,000以上のWordPressサイトに広がったと警告しました。また今年初めには、自動車ディーラー関連の100以上のウェブサイトが、サードパーティドメインへのサプライチェーン攻撃の影響で、悪意のあるClickFixコードを配信していることが判明しました。
先週、セキュリティ研究者「mr.d0x」は、新たな攻撃チェーンの実行方法を共有しました。これは、被害者をだまして悪意のあるPowerShellコマンドをコピーさせるフィッシングページを利用するものです。このコマンドをファイルエクスプローラーに貼り付けると、WindowsがPowerShellを実行します。
HTMLページを保存する際、拡張子を.HTAにリネームさせることで、埋め込まれたJscriptがmshta.exe経由で自動実行されます。
mr.d0xは、HTMLファイルを「Webページ、完全」として保存すると、MoTWタグが付与されず、警告なしにスクリプトが実行されることを発見しました。
被害者が.HTAファイルを開くと、悪意のあるスクリプトが自動的に実行されます。
脅威アクターにとって最大の障壁は、ユーザーをだましてウェブページを保存させ、さらにリネームさせるというソーシャルエンジニアリングの部分です。
ユーザーは、「mshta.exe」バイナリを無効化または削除することで、この罠を回避できます。また、Windowsでファイル拡張子の表示を有効にし、メール経由でのHTML添付ファイルをブロックする設定に変更することも有効です。
最終的には、潜在的な脅威を軽減するために、ユーザーは安全なサイバーセキュリティ習慣を身につけ、未知の送信元からの連絡には注意を払う必要があります。