TokyoBlackHatNews

bleepingcomputer.com 4分で読了

ClickFix攻撃、偽のWindows BSOD画面を使ってマルウェアを実行させる

Image

新たなClickFixのソーシャルエンジニアリングキャンペーンが欧州のホスピタリティ業界を標的にしており、偽のWindowsブルースクリーン(BSOD)画面を用いて、ユーザーに自分のシステム上でマルウェアを手動でコンパイルして実行させるよう仕向けています。

BSODは、オペレーティングシステムが致命的で回復不能なエラーに遭遇して停止した際に表示されるWindowsのクラッシュ画面です。

12月に初めて確認され、Securonixの研究者が「PHALT#BLYX」として追跡している新たなキャンペーンでは、Booking.comになりすましたフィッシングメールがClickFixのソーシャルエンジニアリング攻撃へ誘導し、マルウェアを展開しました。

ClickFix攻撃はBSODクラッシュを装った

ClickFixのソーシャルエンジニアリング攻撃は、エラーや問題を表示するように作られたウェブページで、その後それを解決するための「修正」を提示します。これらのエラーは、偽のエラーメッセージ、セキュリティ警告、CAPTCHAチャレンジ、または更新通知などで、訪問者に問題を解決するためにコンピューター上でコマンドを実行するよう指示します。

被害者は、攻撃者の指示で提示された悪意のあるPowerShellコマンドやシェルコマンドを実行することで、自分のマシンを感染させてしまいます。

この新しいClickFixキャンペーンでは、攻撃者はホテルの宿泊客がBooking.comの予約をキャンセルしたと装うフィッシングメールを送信し、通常はホスピタリティ企業に送られます。記載される返金額は、メール受信者に緊急性を感じさせるのに十分大きいものです。

Image
偽のBooking.com予約キャンセル通知
出典: Securonix

メール内のリンクをクリックすると、被害者は「low-house[.]com」でホストされている偽のBooking.comサイトへ誘導され、Securonixはこれを本物のBooking.comサイトの「高精度なクローン」と評しています。

「このページは、正しいカラーパレット、ロゴ、フォントスタイルを含む公式のBooking.comブランドを利用しています。訓練を受けていない目には、正規サイトと見分けがつきません」と、Securonixは報告しています

このサイトには悪意のあるJavaScriptがホストされており、標的に対して「読み込みに時間がかかりすぎています」という偽のエラーを表示し、ページを更新するためのボタンをクリックするよう促します。

Fake error message
Booking.comクローン上の偽のエラーメッセージ
出典: Securonix

しかし標的がボタンをクリックすると、ブラウザは代わりに全画面モードに入り、偽のWindows BSODクラッシュ画面を表示してClickFixのソーシャルエンジニアリング攻撃を開始します。

The ClickFix BSOD screen
被害者のブラウザに表示されたClickFixのBSOD画面
出典: Securonix

この画面は、Windowsの[ファイル名を指定して実行]ダイアログを開き、CTRL+Vを押すよう促します。これにより、Windowsのクリップボードにコピーされた悪意のあるコマンドが貼り付けられます。

その後、OKボタンを押すか、キーボードのEnterキーを押してコマンドを実行するよう促されます。

本物のBSODメッセージは復旧手順を提示せず、エラーコードと再起動の通知のみを表示しますが、経験の浅いユーザーや、トラブル解決のプレッシャー下にあるホスピタリティスタッフは、こうした欺瞞の兆候を見落とす可能性があります。

提示されたコマンドを貼り付けると、PowerShellコマンドが実行され、おとりのBooking.com管理ページが開きます。同時にバックグラウンドで、悪意のある.NETプロジェクト(v.proj)をダウンロードし、正規のWindowsコンパイラMSBuild.exeでコンパイルします。

実行されると、ペイロードはWindows Defenderの除外設定を追加し、管理者権限を得るためにUACプロンプトを発生させた後、Background Intelligent Transfer Service(BITS)を使用して主要ローダーをダウンロードし、スタートアップフォルダーに.urlファイルを配置して永続化を確立します。

マルウェア(staxs.exe)はDCRATで、感染したデバイスへのリモートアクセスのために脅威アクターが一般的に使用するリモートアクセス型トロイの木馬です。

このマルウェアはプロセスホローイングを用いて正規の「aspnet_compiler.exe」プロセスに注入され、メモリ上で直接実行されます。

コマンド&コントロール(C2)サーバーへの初回接続時に、マルウェアは完全なシステムフィンガープリントを送信し、その後実行するコマンドを待機します。

リモートデスクトップ機能、キーロギング、リバースシェル、追加ペイロードのメモリ内実行をサポートします。Securonixが観測したケースでは、攻撃者は暗号資産マイナーを投下しました。

リモートアクセスが確立されると、脅威アクターは標的ネットワーク上に足掛かりを得て、他のデバイスへ拡散したり、データを窃取したり、他のシステムを侵害したりする可能性があります。

翻訳元: https://www.bleepingcomputer.com/news/security/clickfix-attack-uses-fake-windows-bsod-screens-to-push-malware/

ソース: bleepingcomputer.com
#.NETマルウェア #Booking.comなりすまし #ClickFix #DcRat #MSBuild悪用 #PowerShell #フィッシング詐欺 #ホスピタリティ業界 #リモートアクセス型トロイの木馬(RAT) #偽BSOD

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用