Huntressのサイバーセキュリティ研究者は、ClickFixとして知られる欺瞞的な手法を利用し、被害者をだまして悪意あるコマンドを手動で実行させる高度な多段階マルウェア作戦を発見しました。
この新たなキャンペーンは、 LummaC2 や Rhadamanthys といった情報窃取型マルウェアを配布し、ステガノグラフィを用いて画像ファイル内に悪意あるコードを隠すことで、従来の検知システムを回避します。
ClickFixの誘導は通常、「人間による確認」や「Windows Update」の画面として表示され、ユーザーに Win+R と Ctrl+V を押すよう指示し、クリップボードにコピーされた悪意あるコマンドを貼り付けて実行させます。
そのコマンドは mshta.exe を起動し、攻撃者が管理するインフラ上にホストされたリモートの JScript ペイロードを取得します。このスクリプトは、復号して .NET アセンブリを読み込む追加の PowerShell コマンドを実行し、5段階の感染チェーンの開始を示します。
PowerShellスクリプトは解析を妨げるため、ジャンクコードで強く難読化されています。クリーンアップすると、.NETアセンブリをリフレクションで復号・読み込みしていることが確認できます。
このローダーは次に、高度なステガノグラフィアルゴリズムを用いて次のマルウェア段階を隠した埋め込みPNG画像を取得します。
単に悪意あるデータを追記するのではなく、攻撃者はシェルコードを画像のピクセルデータに直接エンコードし、実行時に画像のカラーチャネルを介して後から抽出します。
復号後、ローダーは explorer.exe への プロセスインジェクション を用いて、隠されたシェルコードを抽出して実行します。
ステガノグラフィで隠蔽されたペイロードは、.NETペイロードをメモリから直接実行できる既知のラッパーである Donutでパックされた シェルコード として特定されています。
最終段階のペイロードには、ブラウザデータ、認証情報、暗号資産ウォレット情報などを流出させる LummaC2 インフォスティーラーが含まれ、さらに最近では、同様の機能を持つモジュール型スティーラーである Rhadamanthys も含まれます。
最近のClickFixの亜種は、現実味のある「更新プログラムを処理しています」アニメーションを備えた偽のWindows Updateページを用いてユーザーを誘導します。
10月以降に観測されたこれらのインシデントは、IP 141.98.80[.]175 を指す複数のドメインに由来し、PowerShellローダーは securitysettings[.]live および xoiiasdpsdoasdpojas[.]com でホストされています。
セキュリティチームは、特にWindowsの「ファイル名を指定して実行」プロンプト経由でコマンドの実行を求めるシナリオにおいて、ソーシャルエンジニアリングの手口を見分けるためのユーザートレーニングも行うべきです。
explorer.exe が mshta.exe または PowerShell.exe のプロセスを生成している状況を監視することは、ClickFix感染の初期段階を特定するうえでさらに役立ちます。ステガノグラフィや多層暗号化が用いられているにもかかわらず、アナリストは、これらの攻撃が人間の操作という単純なベクターに依存していることを強調しています。
翻訳元: https://cyberpress.org/clickfix-attacks/