- 新たなClickFix亜種が、偽のNexShield広告ブロッカーを使ってマルウェアを拡散
- 攻撃はブラウザをクラッシュさせ、その後コマンドプロンプト経由でModeloRATをインストールさせるようユーザーをだます
- KongTukeは企業を標的にしているが、個人も将来的にリスクに直面する可能性
専門家は、ClickFix攻撃が進化し、被害者に「問題がある」と信じ込ませてだますのではなく、実際に「直さなければならない問題」を作り出すようになったと警告している。
通常、ClickFixはページ上のポップアップ、または偽の.docxや.pdfドキュメントとして現れる。被害者は、Windowsの「ファイル名を指定して実行」にコマンドをコピー&ペーストして問題を「修正」するまで、Webページの内容を閲覧できない、あるいはドキュメントを開けないと告げられる。
言うまでもなく、実際には問題など存在せず、彼らがやっていたのはマルウェアをインストールするコマンドを実行することだけだった――これまでは。
ブラウザをクラッシュさせる
最新の亜種は、NexShieldというChromeおよびEdge向けの偽の広告ブロックブラウザアドオンを中心に展開される。これはKongTukeと呼ばれる脅威アクターによって作られたもので、ブラウザのリポジトリを偽装する専用サイトが用意され、公式ストアにもマルウェアが存在するなど、かなり手の込んだ仕組みだ。また、1,400万人のユーザーを持つ正規の広告ブロッカーであるuBlock Originの開発者、Raymond Hillが作ったものだと主張している。
攻撃がアドオンに結び付けられないようにするため、インストールから1時間後に悪意ある活動を開始する。時間になると、マルウェアはサービス妨害(DoS)状態を作り出してブラウザをクラッシュさせ、ユーザーにタスクマネージャーを開いて手動で再起動させる。
再起動後、アドオンは偽のエラーメッセージを表示し、典型的なClickFixの手口どおり解決策を提示する。
その解決策とは、Windowsのコマンドプロンプトにコマンドをコピー&ペーストすることだ。これにより、侵害されたデバイスへの完全なアクセスを可能にするリモートアクセス型トロイの木馬、ModeloRATがダウンロードされインストールされる。
この攻撃を最初に発見したセキュリティ研究者のHuntressは、KongTukeは主に企業ユーザーを標的にしており、現時点では個人やその他の一般ユーザーは狙っていないと主張している。しかし、それはCrashFixが将来より多くの人々を標的にしないという意味ではない。
