出典: Ascannio via Alamy Stock Photo
新たな攻撃手法が、SEOポイズニングと人気のAIモデルを利用して情報窃取型マルウェアを配布しており、その過程で正規のドメインが悪用されている。
ClickFix攻撃はここ1年で大きく広まり、一見無害なCAPTCHA風プロンプトを使ってユーザーに誤った安心感を与え、その後ユーザー自身に対して悪意あるプロンプトを実行させるよう誘導している。これらのプロンプトは多くの場合、SEOポイズニングやフィッシングキャンペーンを通じて配信されており、これまでのサイバー犯罪の中でも、かなり洗練されたソーシャルエンジニアリングの応用例となっている。
Huntressの研究者であるStuart Ashenbrenner氏とJonathan Semon氏は、この種の攻撃の新たな手口を詳述している。そこでは、ユーザーがハードドライブのクリーンアップといった解決したい問題をGoogleで検索する。Huntressが確認したところ、特定の検索では、検索結果の1ページ目に、ユーザーのリクエストに言及した正規のChatGPTやGrokへのリンクが含まれていた。
ユーザーがその結果をクリックすると、大規模言語モデル(LLM)との会話ページに移動し、たとえばMacOSでディスク容量を解放する方法などの手順が提示される。しかし、一見するとごく普通のアドバイスに見える内容の中で、実際にはユーザーにコマンドプロンプトを実行させ、攻撃者のサーバーと通信して情報窃取型マルウェアをインストールさせるよう仕向けている — このケースではMacOS向けスティーラーAMOSだ。これは12月5日にHuntressの顧客に実際に起きた事例である。
この攻撃は、ユーザーが(正当かどうかは別として)AIチャットボットに抱いている信頼、そして攻撃者が人気のLLMブランドから引き出せる信頼を悪用している。
ClickFixスタイル攻撃におけるAIへの信頼の悪用
Huntressのブログ投稿によると、この顧客は「毎日使っている検索エンジンで表示された、正規のプラットフォーム上で提供される、信頼できるAIアシスタントからのアドバイスに従っていると信じていた」。
「しかし実際には、パスワードを密かに収集し、root権限に昇格し、永続的なマルウェアを展開するAMOSスティーラーの亜種をダウンロードするコマンドを実行してしまっていた」とAshenbrenner氏とSemon氏は記している。「悪意あるダウンロードはなし。セキュリティ警告もなし。macOSの組み込み保護を回避する必要もなし。ただ検索して、クリックして、コピー&ペーストしただけで、完全な形の永続的なデータ漏えいが発生したのだ。」
多くのソーシャルエンジニアリングキャンペーンは、偽サイトやコピーサイト、あるいはわずかに綴りを変えたメールアドレスなどを使ってマルウェアを配布するが、このキャンペーンでは、実際のAIおよび検索プラットフォームを利用し、少量のSEOポイズニングを加えることで、被害者自身に感染させるよう仕向けている。
HuntressのプリンシパルSOCアナリストであるSemon氏はDark Readingに対し、攻撃者は、LLMへのプロンプトを正規のトラブルシューティングのように見せかけつつ(その中に悪意あるコマンドを含めた上で)、AIプラットフォームに備わっている共有機能を使ってURLを生成すると説明する。この悪意ある会話は、その後コンテンツファーム、フォーラム、Telegramチャンネル、低品質なインデックスサイトなどに拡散され、「トラブルシューティング関連キーワードに対するバックリンクの関連性を人工的に高める」ために利用される。
この攻撃では、チャットでの会話を通じてAMOSが配布される。AMOSはデータ窃取型のMacマルウェアで、永続的に動作し、暗号通貨ウォレット、キーチェーンアクセス、ブラウザの認証情報など、特定のデータを収集する。
ClickFixスタイルのAI攻撃への防御
Semon氏はDark Readingに対し、「この戦術は、今後6~18カ月の間に、スティーラー系およびその他のマルウェアファミリーにとって支配的な初期侵入手段となる可能性があると考えている。特に、認証情報の窃取、ウォレットの乗っ取り、トロイの木馬化されたコマンドなどにおいて、WindowsとmacOSの両方で顕著になるだろう」と述べている。
この脅威に対処する方法は数多く存在する。最も直接的には、Huntressは、感染ベクターが(ChatGPTプロンプトのような)正規のアクティビティに見えるため、防御側はosascript(macOSのコマンドラインユーティリティ)がユーザー認証情報を要求していないか、ユーザーのホームディレクトリ内に隠し実行ファイルが存在しないかといった、振る舞いの異常に注力すべきだと助言している。
エンドユーザーに対しては、見慣れない情報源からのターミナルコマンドは実行しないこと、そして長くランダムなパスワードやパスワードマネージャーの利用など、強固なパスワード衛生を徹底することが推奨される。また、この攻撃はやや特殊なケースではあるものの、AIの出力をそのまま「行動可能な真実」として受け取る前に、批判的に考える必要があることを思い出させる事例でもある。
「従来のマルウェア配布は、人間の本能と戦う必要がある。フィッシングメールは怪しく感じられるし、クラック版インストーラーは警告を引き起こす。しかし、信頼しているAIの友人ChatGPTからコピーしたターミナルコマンドはどうだろう?それは生産的に感じられる。それは安全に思える。それは、厄介な問題への簡単な解決策のように見える」とブログ投稿は述べている。「この戦略は画期的だ。攻撃者は、セキュリティコントロールを回避するだけでなく、人間の脅威モデルそのものを完全に迂回する配布チャネルを発見したのだから。」
翻訳元: https://www.darkreading.com/vulnerabilities-threats/clickfix-style-attack-grok-chatgpt-malware
