広告ブロッカーになりすました悪意ある拡張機能が、繰り返しブラウザをクラッシュさせたうえで被害者を攻撃者提供のコマンド実行へと誘導し、最終的に新たなPythonベースのRATを展開する。
セキュリティ研究者は、CrashFixと名付けられた悪意あるブラウザ拡張機能キャンペーンを発見した。これは被害者のブラウザを意図的にクラッシュさせ、その混乱に乗じてユーザーをだまし、攻撃者が用意したコマンドを実行させるものだ。
HuntressがKongTukeと呼ぶ脅威クラスターに帰属するとされるこの活動では、広告ブロックツールを装った偽のChrome 拡張機能が用いられ、最終的に新種のマルウェア・ペイロードを配布する。
HuntressがNexShield-Advanced Web Protectionとして特定したこの拡張機能は、正規のブラウザセキュリティツールであるuBlock Origin Lite広告ブロッカーに似せるため、紛らわしいブランド表示や欺瞞的なメタデータを用いて配布されていた。インストール後は一定期間活動を停止し(直ちに疑われるのを避ける狙いとみられる)、その後、システムリソースを枯渇させてブラウザを意図的に不安定化させ、繰り返しクラッシュを引き起こす。
ブラウザが使用不能になると、被害者には問題解決のためにコマンドを貼り付けて実行するよう指示する偽の「修復」プロンプトが表示される。
偽の保護から強制的な障害へ
Huntressの分析によれば、この悪意ある拡張機能はインストール直後に悪意ある動作を行うわけではない。代わりに、インストールから約1時間待ってからクラッシュ処理を開始する。拡張機能は接続を繰り返し開いてメモリを消費し、ブラウザが応答しなくなるまで追い込み、正当な障害に見える状況でユーザーに再起動やトラブルシューティングを強いる。
「この拡張機能は最大2つのタイマーを設定します。1つ目は60分の遅延後に一度だけ作動し、2つ目は最初の作動後に10分ごとに発火します」とHuntressの研究者はブログ投稿で述べている。「このタイミング戦略により、ユーザーが拡張機能をインストールしても直ちに悪意あることは起きません。60分後に悪意あるペイロードが有効化され、その後は10分ごとにペイロードの実行が継続します。」
再起動すると、被害者にはブラウザが重大なエラーに遭遇し、手動での対処が必要だと主張するアラートが表示される。被害者はWindowsの[ファイル名を指定して実行]ダイアログを開き、すでにクリップボードにコピーされているコマンドを貼り付けるよう指示される。このコマンドが攻撃の次段階を起動する。
Huntressは、この手口が「ClickFix」型攻撃の増加傾向を反映していると強調した。ClickFix型では、システム復旧やセキュリティ修復を装い、ユーザー自身に悪意あるコードを実行させるようソーシャルエンジニアリングを行う。ClickFixの手法は、長期にわたるContagious Interview作戦に関連する亜種を含め、DPRK(北朝鮮)関連の複数のキャンペーンで観測されている。
ペイロードの配布
ユーザーが提示されたコマンドを実行すると、多段階の感染プロセスが開始され、最終的に研究者がModelRATと名付けた、これまで文書化されていなかったPythonベースのリモートアクセス型トロイの木馬が展開される。このマルウェアは永続化を確立し、感染システムの遠隔操作を可能にする。
Huntressのテレメトリは、環境によって挙動が異なることを示唆した。ドメイン参加しているシステムでは完全なペイロードチェーンを受け取る可能性が高い一方、非ドメインのシステムでは、より軽量な段階や不完全な段階のみが配布される場合があった。
研究者はまた、CrashFixの実行フローとSocGholish(FakeUpdates)キャンペーンとの類似点も指摘し、技術的な脆弱性悪用ではなくユーザー主導の実行に依存している点が共通していると述べた。SocGholishの活動と同様に、攻撃者の成功は、修復やシステム復旧を装って被害者に手動でコマンドを実行させられるかどうかにかかっている。
推奨事項には、信頼できない、または紛らわしいブラウザ拡張機能を削除すること、そしてブラウザエラーにより促される「修復」コマンドを手動で実行しないよう指針を徹底することが含まれていた。研究者はまた、検知と対応に役立てるため、悪意ある拡張機能、コマンド実行、および後続活動に関連する侵害指標(IOC)も共有した。
