Securonixの脅威研究者は、PHALT#BLYXとして追跡されているステルス性の高いマルウェアキャンペーンを発見しました。これは高度な「ClickFix」型のソーシャルエンジニアリング手口を用い、ホスピタリティ業界を標的にしています。
この継続中のキャンペーンは、繁忙期であるホリデーシーズンに欧州の組織を狙い、偽のBooking.com予約キャンセルを利用して、ロシア関連とみられるDCRatペイロードを展開します。
感染チェーンは、Booking.comからの公式連絡を装った標的型フィッシングメールから始まります。
メールは、しばしば1,000ユーロを超える高額な請求を伴う予約キャンセルがあったと受信者に警告し、パニックと緊急性を煽ります。
被害者が「See Details」リンクをクリックすると、中継サイトを経由して、Booking.comのインターフェースを完璧に模倣した不正なランディングページへリダイレクトされます。
予約詳細を表示する代わりに、ページは偽の「読み込みに時間がかかりすぎています」エラーを提示します。ユーザーが「Refresh」をクリックすると、ブラウザは全画面のBSODクラッシュをシミュレートし、被害者に衝撃を与えるよう設計されています。
その後、欺瞞的なオーバーレイが、特定のキー操作(Windowsキー + R、次にCtrl + V)を押して「修正」を行うようユーザーに指示します。
被害者は気付かないまま、悪意あるPowerShellスクリプトをWindowsの「ファイル名を指定して実行」ダイアログに貼り付けてしまい、自動化されたメールセキュリティフィルターを作動させることなく感染が開始されます。
この攻撃チェーンは、「ブルースクリーン(BSOD)」による欺瞞と、正規のWindowsツールであるMSBuild.exeの悪用によってセキュリティ防御を回避する点が指摘されています。
MSBuildの悪用とロシア起源
実行されると、PowerShellスクリプトはv.projという名前のMSBuildプロジェクトファイルをダウンロードします。容易に検知されるHTML Application(.hta)ファイルに依存していた従来のキャンペーンとは異なり、この攻撃は「Living off the Land」手法を活用しています。
攻撃者は信頼されたMicrosoft Build Engine(MSBuild.exe)を使用して、プロジェクトファイル内に埋め込まれた悪意あるコードをコンパイルして実行します。この方法は、アプリケーションの許可リスト(allowlisting)や標準的なアンチウイルス検知をしばしば回避します。
マルウェアは直ちに、ProgramDataディレクトリに対する除外設定を追加することでWindows Defenderを無力化しようとします。続いて、スタートアップフォルダーにインターネットショートカット(.url)ファイルを作成し、「DeleteApp」というクリーンアップスクリプトを装って永続化を確立します。
最終ペイロードは、プロセスホロウイング、キーロギング、二次ペイロードの展開が可能な、強力に難読化されたDCRat(AsyncRAT)です。このRATは、活動を隠すために正規のaspnet_compiler.exeプロセスへインジェクトされます。
研究者はv.projファイル内に、ロシア語で「インストールが正常に完了しました」といったキリル文字のデバッグ文字列を発見し、この活動がロシアの脅威アクターに関連していることを示しました。
ロシアのアンダーグラウンドフォーラムで広く流通しているコモディティマルウェアであるDCRatの使用も、この帰属判断をさらに裏付けています。
翻訳元: https://gbhackers.com/clickfix-attack-use/
