ClickFix攻撃の亜種が観測されており、脅威アクターはフルスクリーンのブラウザページ上で、現実的なWindows Updateアニメーションを表示してユーザーをだまし、マルウェアコードを画像の中に隠しています。
ClickFixはソーシャルエンジニアリング攻撃の一種で、ユーザーにWindowsのコマンドプロンプトへコードやコマンドを貼り付けて実行させ、その結果としてシステム上でマルウェアを動作させるよう仕向けるものです。
この攻撃は、その高い有効性からあらゆるレベルのサイバー犯罪者に広く採用されており、ますます高度で巧妙な誘導手口へと進化し続けています。
フルスクリーンのブラウザページ
10月1日以降、研究者らはClickFix攻撃を観測しており、危険なコマンドを実行させる口実として、重要なWindowsセキュリティアップデートのインストール完了や、より一般的な「人間による確認(human verification)」を装う手口が使われています [1, 2]。
偽のアップデートページでは、被害者に特定のキーを決められた順番で押すよう指示し、サイト上で動作するJavaScriptによって自動的にクリップボードへコピーされた攻撃者のコマンドを貼り付け・実行させます。
出典: BleepingComputer
マネージドセキュリティサービスプロバイダであるHuntressのレポートによると、新たなClickFixの亜種は、LummaC2およびRhadamanthysという情報窃取マルウェアを投下します。
ある亜種では、攻撃者は人間による確認ページを使用し、別の亜種では偽のWindows Update画面に依存しています。
しかし、どちらの場合も、脅威アクターはステガノグラフィ(電子透かし)を用いて、最終的なマルウェアペイロードを画像の中にエンコードしています。
「単に悪意あるデータをファイルに追記するのではなく、悪意あるコードはPNG画像のピクセルデータ内に直接エンコードされており、特定のカラー・チャネルを利用してメモリ上でペイロードを再構築・復号します」と、Huntressの研究者は説明しています。
最終ペイロードの配信は、Windowsネイティブのバイナリであるmshtaを使って悪意あるJavaScriptコードを実行することから始まります。
この一連のプロセスは複数のステージから成り、PowerShellコードと.NETアセンブリ(Stego Loader)を使用します。Stego Loaderは、暗号化された状態でPNGファイル内に埋め込まれた最終ペイロードを再構築する役割を担います。
Stego Loaderのマニフェストリソース内にはAESで暗号化されたブロブがあり、これは実際にはステガノグラフィを施したPNGファイルで、カスタムC#コードを用いて再構築されるシェルコードが含まれています。
Huntressの研究者は、脅威アクターが「ctrampoline」として知られる動的回避手法を用いていることに気付きました。この手法では、エントリポイント関数が1万個の空の関数を呼び出し始めます。
出典: Huntress
情報窃取マルウェアのサンプルを保持するシェルコードは、暗号化された画像から抽出され、Donutツールを使ってパックされています。Donutは、VBScript、JScript、EXE、DLLファイル、.NETアセンブリをメモリ上で実行できるツールです。
アンパック後、Huntressの研究者はマルウェアを取得することができ、分析された攻撃ではLummaC2とRhadamanthysが使用されていました。
以下の図は、攻撃全体がどのように機能するかを視覚的に示したものです。
出典: Huntress
Windows Updateを装う誘導を用いたRhadamanthysの亜種は、オペレーションEndgameがそのインフラの一部を11月13日に停止させる前の10月に、研究者によって初めて確認されました。
Huntressによると、法執行機関の作戦の結果、偽のWindows Updateドメイン自体は依然として稼働しているものの、そこからペイロードが配信されることはなくなりました。
この種のClickFix攻撃から身を守るために、研究者らはWindowsの「ファイル名を指定して実行」ダイアログを無効化し、explorer.exeからmshta.exeやPowerShellが起動されるといった不審なプロセスチェーンを監視することを推奨しています。
さらに、サイバーセキュリティインシデントを調査する際には、アナリストはRunMRUレジストリキーを確認することで、ユーザーがWindowsの「ファイル名を指定して実行」ダイアログにコマンドを入力したかどうかを確認できます。
