研究者は、ClickFixの発想に沿った別の手口であるCrashFixを発見しました。
ClickFixキャンペーンは、説得力のある誘い文句(これまでは「人間であることの確認」画面)を使い、ユーザーにクリップボードからコマンドを貼り付けさせることでだまします。偽のWindows更新画面、Macユーザー向けの動画チュートリアル、そして他にも多くの亜種に続き、攻撃者は今度は意図的にブラウザをクラッシュさせるブラウザ拡張機能を導入しました。
研究者は有名な広告ブロッカーの模倣品を見つけ、「NexShield – Advanced Web Protection」という名前で公式のChrome Web Storeに紛れ込ませることに成功していました。厳密に言えば、ブラウザをクラッシュさせることはある程度の保護にはなりますが、通常ユーザーが求めているものではありません。
ユーザーがこのブラウザ拡張機能をインストールすると、インストール、更新、アンインストールを追跡するためにnexsnield[.]com(スペルミスに注意)へ通信します。この拡張機能はChrome内蔵のAlarms API(アプリケーション・プログラミング・インターフェース)を使用し、悪意ある動作を開始するまで60分待機します。この遅延により、ユーザーがインストールとその後のクラッシュをすぐに結び付けにくくなります。
その待機の後、拡張機能はサービス拒否(DoS)ループを開始し、chrome.runtimeのポート接続を繰り返し開いてデバイスのリソースを枯渇させ、ブラウザが応答しなくなってクラッシュするまで追い込みます。
ブラウザを再起動すると、ユーザーには「ブラウザが異常終了した」と告げるポップアップが表示されます。これは事実ですが想定外ではなく、さらに今後それが起きないようにするための手順が提示されます。
そこでは、今やおなじみの手順としてWin+Rを開き、Ctrl+Vを押してからEnterを押して問題を「修正」するようユーザーに促します。これは典型的なClickFixの挙動です。拡張機能はすでに悪意あるPowerShellまたはcmdコマンドをクリップボードに置いています。指示に従うことで、ユーザーはその悪意あるコマンドを実行し、結果的に自分のコンピューターを自ら感染させてしまいます。
デバイスがドメイン参加しているかどうかを確認するフィンガープリンティングのチェックに基づき、現時点では2つの結果があり得ます。
マシンがドメインに参加している場合、企業端末として扱われ、ModeloRATと呼ばれるPython製リモートアクセス型トロイの木馬(RAT)に感染します。ドメイン未参加のマシンでは、研究者が「TEST PAYLOAD!!!!」という応答しか受け取れなかったため、現時点でペイロードは不明です。これは開発が進行中であること、または別のフィンガープリンティングによりテストマシンが不適格と判断されたことを示唆している可能性があります。
安全を保つ方法
執筆時点ではこの拡張機能はChrome Web Storeから削除されていましたが、別の名前で再登場するのは間違いないでしょう。そこで、安全を保つためのヒントをいくつか紹介します。
- 広告ブロッカーやその他の便利なブラウザ拡張機能を探している場合は、本物をインストールしていることを確認してください。サイバー犯罪者は信頼されているソフトウェアになりすますのが大好きです。
- 出所を信頼でき、行為の目的を理解している場合を除き、Webサイト、メール、メッセージからコピーしたコードやコマンドを決して実行しないでください。手順は独自に検証しましょう。Webサイトがコマンドの実行や技術的な操作を指示してきた場合は、進める前に公式ドキュメントで確認するかサポートに連絡してください。
- デバイスを保護してください。Web保護機能を備えた最新のリアルタイムマルウェア対策ソリューションを使用しましょう。
- 進化する攻撃手法について学びましょう。攻撃が予期しない経路から来たり進化したりする可能性があると理解することは、警戒を維持するのに役立ちます。引き続き当ブログをお読みください!
プロのヒント:無料のMalwarebytes Browser Guard拡張機能は非常に効果的な広告ブロッカーで、悪意あるWebサイトからあなたを守ります。また、Webサイトがクリップボードに何かをコピーした際に警告し、コマンドを無効化するための小さなスニペットを追加します。
