Securonixは、ホスピタリティ業界を標的にリモートアクセス型トロイの木馬(RAT)を展開する、隠密かつ高度なClickFixキャンペーンについて警告している。
攻撃は、Booking.comの予約キャンセルを装った偽の誘い文句を含むフィッシングメールから始まり、偽CAPTCHAを表示するなりすましサイトへのリンクが含まれている。
被害者がフィッシングリンクをクリックして偽サイトにアクセスすると、CAPTCHA風の欺瞞的なブラウザエラーが表示され、偽のブルースクリーン(BSOD)アニメーションへと誘導される。
Securonixによると、このキャンペーンで使用されたフィッシングメールは PHALT#BLYXと呼ばれ、ユーロ建ての客室料金の詳細が含まれていることから、背後の脅威アクター(ロシア系の可能性が高い)が欧州の組織を積極的に標的にしていることが示唆されるという。
被害者にメール本文内の悪意あるリンクを確実にクリックさせるため、攻撃者は1,000ユーロ超(約1,170ドル)の請求/返金に言及し、支援を求める内容を盛り込んだ。
被害者がリンクにアクセスするとブラウザエラーが表示され、「ページを再読み込み」ボタンをクリックするよう促される。これによりClickFix攻撃が発動し、ブラウザウィンドウが全画面モードに入り、偽のBSOD画像が表示される。
偽画面は、複数のキーの組み合わせを押すよう被害者に指示し、その結果、悪意あるMSBuildプロジェクトファイルをダウンロードするPowerShellコマンドが実行される。
感染チェーンは、MSBuildがプロジェクトファイル内のペイロードをコンパイルして実行することで続き、その結果、Windows Defenderが無効化され、永続化が達成され、カスタマイズ版のDCRat RATが実行される。
実行されると、プロジェクトファイル内のペイロードは現在のユーザーの権限を確認し、管理者権限がない場合は、ユーザーアカウント制御(UAC)スパムを用いて高権限での実行を試みる。
最終ペイロードである.NET実行ファイルは、AscynRATの既知のフォークであるDCRatの亜種とみられ、高い耐性と運用セキュリティを備えるよう設計されている。
「マルウェアが接続先をランダム化でき、Pastebinのようなデッドドロップ・リゾルバを利用する可能性があることは、個々のサーバーがテイクダウンされても耐え、敵対的な環境下でも接続性を維持できるよう設計されたボットネット基盤を示している」とSecuronixは指摘している。
翻訳元: https://www.securityweek.com/sophisticated-clickfix-campaign-targeting-hospitality-sector/
