ClickFixキャンペーン、偽の「ブルースクリーン（BSOD）」を提示

出典：Aleksey Zotov／Alamy Stock Photo

ホスピタリティ業界の顧客を標的に、典型的な偽CAPTCHAチャレンジと、恐れられているMicrosoft Windowsの「ブルースクリーン（死のブルースクリーン）」の悪用を組み合わせた多段階の感染チェーンを用いる新たなClickFix攻撃が出現した。

Securonixの研究者は、PHALT#BLYXとして追跡されているこのキャンペーンを特定した。Booking.comを模倣した体裁の偽の予約キャンセル誘導を用い、被害者をだまして悪意のあるPowerShellコマンドを実行させ、マルウェアを配布するという。研究者らは月曜日に公開されたブログ投稿で明らかにした。このキャンペーンは最終的に、ロシアに関連するリモートアクセス型トロイの木馬（RAT）であるDCRatを展開する。

投稿によれば、このキャンペーンは途中でブルースクリーン（死のブルースクリーン）を悪用する。ClickFix攻撃の典型的な特徴である偽CAPTCHAチャレンジの後に、ブルースクリーンを表示するという。「これは、projファイルをダウンロードするPowerShellコマンドを実行させるClickFixのトリックだ」と、Securonixの脅威リサーチは投稿で記している。

この攻撃はさらに、Windows環境内の信頼されたツールであるMSBuild.exeを悪用し、ペイロードをコンパイルして実行する。研究者らによれば、ペイロードは「高度に難読化されたDCRatのバージョンで、プロセスホロウイング、キーロギング、永続的なリモートアクセス、二次ペイロードの投下が可能」だという。

偽の予約ページでは欧州の通貨であるユーロ建てのホテル料金が使われており、標的が同地域にいることを示唆している。一方で、攻撃の一部にはロシア語も用いられており、攻撃者がロシア、またはロシア語圏の国の脅威アクターである可能性を示している。こうしたアクターは、Dark Crystal RATとしても知られるDCRatを典型的に用いる。DCRatはロシアの開発者によって作成され、過去にはUAC-0200として追跡される脅威グループによりウクライナに対して使用された。

ClickFix攻撃は今後も続く

ClickFixは、侵害されたWebサイトがPowerShellコードを実行してユーザーに偽のエラーメッセージを表示し、ブラウザ更新のインストールが必要だと思い込ませるソーシャルエンジニアリングでだます攻撃手法である。2024年にProofpointの研究者によって初めて詳述された。しかし実際には、その「更新」をインストールするとデバイスにマルウェアが展開される。 

発見以降、この手法は脅威アクターの間で急速に採用が進み、ホスピタリティ業界はClickFixキャンペーンで狙われる数多くの業界の一つにすぎない。実際、最近のキャンペーンでは、同業界にとって最も忙しい時期の一つであるクリスマス休暇シーズンを利用し、Booking.comを装った誘導を用いたフィッシングメールを送信した。メールには、偽の宿泊予約サイトへのリンクが含まれていた。 

研究者らによれば、PHALT#BLYXキャンペーンの最も初期の痕跡は数カ月前に現れており、攻撃チェーンの進化は、攻撃者が検知回避と長期的な永続化を意図していることを示している。「心理的操作に加え、『MSBuild.exe』のような信頼されたシステムバイナリの悪用により、従来の防御が反応する前に感染が被害者のシステム深部に足場を築ける」と彼らは記している。

研究者らはまた、感染チェーンの技術的な複雑さ、実行をプロキシするためにカスタマイズされたMSBuildプロジェクトファイルの使用、そして「Windows Defenderの除外設定に対する攻撃的な改ざん」から、攻撃者が最新のエンドポイント保護を「深く理解している」ように見えるとも指摘した。

「さらに、最終ペイロードは単に投下されるのではなく、『aspnet_compiler.exe』のような正規プロセスに注入され、標準的なシステム動作という外観の背後に悪意ある活動を効果的に隠蔽する」と彼らは記している。

ClickFixへの防御

この手口が発見されて以来、ClickFixキャンペーンは被害者に対して激しく、かつ迅速に仕掛けられている。また、一般にフィッシングキャンペーンはますます回避的で複雑になっている。研究者らは、従業員が知らないうちにRATやその他のマルウェアで企業ネットワークを感染させないよう、組織がユーザーの認知向上を促進すべきだと訴えた。 

具体的には、Windowsの「ファイル名を指定して実行」ダイアログやPowerShell端末にスクリプトコードを貼り付けるよう指示されても従わないよう、従業員に警告することを勧めている。研究者らは投稿で「特にブラウザのエラーページに促された場合は注意が必要だ」と記した。また、ホスピタリティサービスからのメールを名乗るメッセージに直面した際には、一般的な注意を払うよう指導すべきであり、とりわけ「緊急の金銭要求」が含まれる場合は注意が必要だと述べた。

PHALT#BLYXキャンペーンとその手口に対しては、組織はWindowsでファイル拡張子の表示を有効化し、MSBuild.exeを厳格に監視すべきだ。特に、非標準ディレクトリからプロジェクトファイルを実行する場合に注意する必要がある。また、「aspnet_compiler.exe」「RegSvcs.exe」「RegAsm.exe」といった正規のシステムバイナリについても、非標準ポートで未知のIPへ外向き通信を行うなどの不審な挙動を監視すべきである。 Securonixのブログ投稿では、同社顧客がキャンペーンに関連する悪意ある活動をエンドポイント上でスキャンするために利用できるハンティングクエリも提供されている。