PHALT#BLYXと呼ばれる新たなフィッシングキャンペーンが浮上し、ホリデーシーズン中に欧州全域のホテルやホスピタリティ関連企業を標的にしています。
攻撃者は高度な「ClickFix」ソーシャルエンジニアリング手法を用い、偽のWindowsブルースクリーン(BSOD)を表示してユーザーをだまし、悪意あるPowerShellコマンドを実行させ、最終的にリモートアクセス型トロイの木馬DCRatを配布します。
攻撃は、Booking.comの予約キャンセル通知を装ったフィッシングメールから始まり、緊急性を煽るためにユーロ建ての水増し請求をしばしば記載します。
「See details」ボタンをクリックした被害者は、oncameraworkout [.] com/ksbo経由でlow-house[.]comの偽装サイトへリダイレクトされます。これはBooking.comのほぼ完璧なクローンです。
偽サイトは「ページ読み込み」エラーと、次の段階を起動する Refreshボタン を表示します。クリックすると、ページは BSOD を模倣し、Windows + Rを押してから自動的にコピーされたスクリプトを「ファイル名を指定して実行」ダイアログに貼り付けて問題を「修正」するようユーザーに促します。
この手口により、ユーザーはPowerShellコマンドを手動で実行させられ、組み込みのセキュリティ制御を回避してしまいます。
隠されたPowerShellコマンドは、 2fa-bns[.]com から MSBuildプロジェクト ファイル(v.proj)をダウンロードし、信頼されたMicrosoftユーティリティである MSBuild.exe 経由で実行します。この「Living‑off‑the‑Land」(LotL)手法は、正当なシステム活動に紛れ込むことでマルウェアがアンチウイルス検知を回避するのに役立ちます。
実行されると、 v.proj は Windows Defender に対して .exe、 .ps1、 .proj ファイルなど複数の除外設定を追加し、その後に権限昇格を試みます。
管理者権限が付与されると、リアルタイム保護を無効化し、 BITS サービスを介してペイロードstaxs.exeをダウンロードします。続いてマルウェアは、異例の方法で永続化を確立します。スタートアップフォルダーにURLショートカットを作成し、再起動のたびに実行されるようにします。
最終ペイロードであるDCRat(ロシア発のリモートアクセス型トロイの木馬)は、検知回避のため aspnet_compiler.exe にインジェクトされます。
設定保護のために強力な AES‑256暗号化 と PBKDF2 を使用し、ポート3535で asj77[.]com、 asj88[.]com、 asj99[.]com など複数のC2サーバーに接続します。
接続後は、広範なシステムデータを収集し、ライブ通信を維持し、 キーロギング、 リモートシェルアクセス、 画面キャプチャ、さらにコインマイナーを含む ペイロード配布 などのタスクをサポートします。
Securonix の研究者は、キリル文字のデバッグ文字列と AsyncRAT との構造的類似性を特定し、このキャンペーンがロシア語話者の開発者に関連していることを示しました。
従来のHTAベースの感染からMSBuild主導の実行への進化は、よりステルス性が高く、より永続的な作戦への移行を示しています。
専門家は、組織に対しPowerShellおよびMSBuildの活動を監視し、不審な .proj または .url ファイルを検知し、ClickFix型のフィッシング誘導についてスタッフの認識を強化するよう助言しています。
翻訳元: https://cyberpress.org/clickfix-attack-3/