私たちは、人間確認テストやブラウザ更新を深く考えずにクリックして進めることに慣れていますが、新たな脅威がこうした習慣を逆手に取っています。
Point WildのLat61脅威インテリジェンス・チームのサイバーセキュリティ研究者は、ClickFixとして知られるソーシャルエンジニアリングの手口に依存するマルウェア・キャンペーンを発見しました。この手法は、人々をだまして有害なコマンドを手動で実行させるもので、今回のケースではDarkGateのリモートアクセス型マルウェアのインストールにつながります。
罠の仕組み
問題は、ユーザーが「Word Online」拡張機能が見つからないと主張する偽メッセージを目にしたときに始まります。文書を表示するには、サイトが「How to fix」ボタンをクリックするよう促します。急いでいるときには、これに引っかかりやすいのは周知のとおりです。しかし、このボタンは何も修復しません。代わりにJavaScriptを使って、PowerShellコマンドを密かにクリップボードへコピーします。
その後、攻撃者はユーザーを一連の手順へ誘導し、感染を完了させます。Windows+Rを押して「ファイル名を指定して実行」を開き、続いてCTRL+Vでコピーされたテキストを貼り付けるよう求めます。ユーザー自身がこのプロセスを開始するため、コンピューターのセキュリティが脅威として検知しない可能性があります。
Point Wildの脅威アナリストであるOnkar Sonawane氏は、Hackread.comに独占共有されたブログ投稿の中で、この一連の流れは「ユーザーがその悪意に気づかないまま、事前にクリップボードへコピーされたPowerShellスクリプトの実行を促すよう設計されている」と指摘しています。
舞台裏:DarkGate感染
スクリプトが実行されると、linktoxic34.comにアクセスして、nC.htaという名前のリモートHTAファイル(HTMLアプリケーション)をダウンロードして実行します。このファイルはローカルのc:\users\public\nC.htaに保存されます。研究者は、ハッカーが検知回避のために、base64でエンコードされたスクリプトの多層化と「逆関数」を用いていることを特定しました。
PowerShellスクリプトの実行により、Cドライブ上にディレクトリが自動的に作成されます。このフォルダーには、AutoItの実行ファイルとスクリプト(例:script.a3x)が配置されます。これらのコンポーネントは「ユーザーの操作なしに」起動し、攻撃チェーンを静かに継続します。
DarkGateが稼働すると、複数の悪意ある動作を実行します:
- 再起動後もコンピューター上に残るよう永続化を確立します。
- 機密性の高いユーザー情報を収集し、ハッカーへ送信(流出)させます。
- DES暗号化を用いて、追加で投下するファイルを隠し、新たな二次フォルダーへ配置します。
感染の兆候と安全を保つ方法
感染したシステムでは、フリーズやクラッシュが起きたり、無許可のツールバーが表示されたりすることがあります。また、ポップアップ広告が大量に表示されることに気づくかもしれません。研究者は、システムがユーザーによる正当な作業だと判断してしまうため、「従来型のアンチウイルスソフトは初動をすぐには検知できない可能性がある」と疑っています。したがって、安全のために、ブラウザの問題を「修正」する目的でウェブサイトが提示するコードを、決してコピー&ペーストしないでください。
Point WildのCTOでありLat61脅威インテリジェンス・チーム責任者でもあるZulfikar Ramzan博士は、「ClickFixは被害者をインストーラーに変えてしまう。『How to fix』を一度クリックするだけでクリップボードに仕込まれ、数秒のうちに、役に立つ修復を装ってDarkGateが動き出す」と説明しています。
翻訳元: https://hackread.com/clickfix-attack-fake-browser-install-darkgate-malware/
