広告ブロッカーは私たちを安全に保つためのものですが、脅威ハンティング企業Huntressによる最近の発見は、そうしたツールがいかに簡単に私たちに不利に利用され得るかを示しています。Huntressの脅威アナリストは最近、KongTukeハッキンググループによる巧妙な新キャンペーンを特定しました。これはCrashFixという手口を用い、自分たちが作り出した問題を修正するふりをして企業のコンピューターに侵入するものです。
罠
発端は、 NexShield,という偽の広告ブロッカーで、人気の「uBlock Origin Lite」をほぼ完璧に複製したものです。本物らしく見せるために、ハッカーはコードヘッダーを偽造して実在の開発者Raymond Hillに誤ってクレジットを付与し、存在しない「ヘルプ」サイトへのリンクを含め、さらには開発者のメールアドレス[email protected]の名義で公式のChromeウェブストア上にホストしていました。
インストールされると、NexShieldは60分待ってから、あなたのコンピューターに対してサービス拒否(DoS)攻撃を開始します。これは、同時に10億回接続しようとする隠しスクリプトを実行し、意図的にシステムリソースを枯渇させることで行われます。その結果、タブがフリーズし、最終的にブラウザ全体のクラッシュを引き起こします。
CrashFixが実際に感染させる仕組み
ブラウザを再起動すると、「ブラウザが異常停止しました」と主張する、プロフェッショナルな見た目の「セキュリティ警告」がポップアップ表示されます。これはClickFix攻撃の新しいバージョンです。 提案されたスキャンを実行すると、「セキュリティ上の問題が検出されました!」という偽の警告が表示されます。拡張機能は、Win+Rを押してCtrl+Vでコマンドを貼り付け、修正するよう指示します。
一方で拡張機能は、すでに悪意のあるコマンドをあなたのクリップボードへ密かにコピーしています。研究者はブログ記事で、このコマンドがfinger.exeという実在のWindowsツールを悪用し、これを「ct.exe」にリネームしてバックドアをシステムにダウンロードすると説明しています。
バックドア:ModeloRAT
最終的なペイロードは、Pythonプログラミング言語で書かれたスパイツールModeloRATです。このマルウェアは隠し入口として機能し、ハッカーがあなたのファイルを監視し、企業のパスワードを盗めるようにします。さらに、「Spotify47」や「Adobe2841」のような名前を使って通常のソフトウェアに見せかけ、設定内に潜伏します。
KongTukeのキャンペーンが非常に危険なのは、検知を回避する方法にあります。フィンガープリンティングと呼ばれる手法で監視されていないかを確認し、Wiresharkやx64dbgなど50種類以上のセキュリティツールをスキャンし、研究ラボでよく使われる「John Doe」のようなユーザー名もチェックします。ウイルスが研究者のマシンだと検知すると、単に動作を停止するか、専門家の時間を無駄にするため「TEST PAYLOAD!!!!」という偽メッセージを返します。
なお、KongTukeは現時点ではビジネス標的を優先し、家庭ユーザーは無視している点に留意すべきです。安全を保つため、ブラウザ拡張機能をダウンロードする前に、開発者を必ず二重に確認してください。ブラウザがクラッシュし、突然手動コマンドの実行を求めてきた場合、それは罠である可能性が高いです。
翻訳元: https://hackread.com/clickfix-crashfix-kongtuke-fake-chrome-ad-blocker-modelorat/
