- ロシア関連のサイバー犯罪者が、欧州のホテルやホスピタリティ企業を狙った新たなClickFixキャンペーンを展開
- 被害者には偽の予約メールが届き、偽の「ブルースクリーン・オブ・デス」へ誘導され、悪意あるスクリプトの実行を促される
- マルウェアはWindows Defenderを無効化し、認証情報とクリップボードのデータを窃取する
ロシアのサイバー犯罪者が、新たなClickFixキャンペーンを通じて人々のコンピューターにバックドアや情報窃取型マルウェアを展開しようとしている――しかし今回は不気味などんでん返しがある。
ClickFix攻撃は通常、ポップアップを中心に展開される。被害者にはエラーメッセージが表示され、同時に修正方法が提示される。その修正方法――コマンドの実行やソフトウェアのダウンロードなど――こそが、被害者が自らマルウェアをインストールしてしまう瞬間なのだ。
Securonixの研究者によれば、欧州のホテルおよびより広いホスピタリティ業界に焦点を当てたこのキャンペーンは、少し趣が異なるという。
偽のBSOD
始まり方はいつも通りだ。被害者のもとに「最新の予約に問題がある」とするメールが届き、急いで対応しないと予約が失効する/追加料金が発生する、といった内容で行動を促す。メールは人気の予約サービスから届いたかのように見えるよう作られており、「詳細を見る」ボタンが付いている――しかし詐欺はそこから始まる。
ボタンをクリックすると、まず「読み込みに時間がかかりすぎています」というメッセージが表示され、その後、偽のブルースクリーン・オブ・デス(BSOD)が現れる。金銭や予約が絡むデリケートなタイミングでPCが使えなくなったかのように見せることで、被害者をパニックに陥らせ、急いで対処しようとさせる狙いだ。ClickFix攻撃ではおなじみのように、BSODのウィンドウにも解決策が提示され、このケースでは「ファイル名を指定して実行」でスクリプトを実行するよう促される。
このスクリプトはマルウェアやその他の悪意あるツールをダウンロードし、Windows Defenderを無効化し、被害者の目をそらすために本物の予約サイトを表示する。マルウェアに特定の名称はないようだが、研究者はこれが情報窃取型マルウェアとして機能し、パスワードやクリップボードのデータ、その他の情報を奪うと述べている。
Securonixは、このキャンペーンを「コモディティ・マルウェア配布における洗練された進化」だとしている。
研究者は、「心理的操作に加え、`MSBuild.exe`のような信頼されたシステムバイナリの悪用により、従来の防御が反応する前に感染が被害者のシステム深部に足場を築くことが可能になる」と述べた。
「感染チェーンの技術的な複雑さは、検知を回避し、長期的な永続性を維持しようとする明確な意図を示している。」
翻訳元: https://www.techradar.com/pro/security/hackers-use-blue-screen-of-death-malware-to-target-victims
