出典:Shutterstock提供 alexskopje
ClickFix攻撃の高度な亜種を用いる脅威アクターが、ユーザーをだましてシステムにマルウェアをインストールさせています。
偽のセキュリティ警告やCAPTCHAを使ってユーザーを誘導し、悪意あるコマンドを実行させる典型的なClickFix詐欺とは異なり、新たな「CrashFix」亜種は、まず被害者のブラウザを意図的にクラッシュさせ、その後に偽の修復策を提供する悪意ある拡張機能を展開します。
ドメイン参加システムが特定の標的
CrashFixは家庭ユーザーと企業ネットワークの双方を標的にしており、後者ではドメイン参加マシンに対して特別に作り込まれたバックドア型マルウェアが配布されると、Huntress Labsは述べています。セキュリティベンダーの研究者は、広告ブロッカーを探していた際、悪意ある広告によってNexShieldへ誘導されました。NexShieldはChrome Web Store上で、正規のuBlock Origin Liteアプリになりすましたアプリでした。
この拡張機能は研究者のブラウザを意図的にクラッシュさせ、その後「異常終了した」と主張する偽メッセージを表示しました。メッセージは問題を修復するためにスキャンを実行するよう促し、それが感染チェーンの引き金となりました。
Huntressは、この活動を「KongTuke」によるものだとしています。KongTukeは同社が2025年初頭から追跡している脅威アクターです。Huntressによれば、今回の最新キャンペーンは脅威グループの巧妙さが大きく増しており、主に3つの要素で構成されています。1つ目はNexShieldという悪意あるブラウザ拡張機能、2つ目はブラウザをクラッシュさせるCrashFixのソーシャルエンジニアリング手法、3つ目はModeloRATです。ModeloRATはこれまで確認されていなかったPythonベースのリモートアクセス型トロイの木馬(RAT)で、脅威アクターはこれを企業システムにのみ展開しています。
「スタンドアロンのワークステーションを使う家庭ユーザーには、別の感染チェーンが配布されますが、まだテスト段階のようです。最終的にすべての層を突破できたとき、[コマンド&コントロールサーバー(C2)]は『TEST PAYLOAD!!!!』と応答しました」と、Huntressの研究者であるAnna Pham氏、Tanner Filip氏、Dani Lopez氏は記しています。「これが、非ドメイン標的の優先度が低いことを意味するのか、あるいはキャンペーンがまだ構築途中であることを意味するのかはともかく、1つ明らかなのは、KongTukeが作戦を進化させ、企業ネットワークへの関心を高めているという点です。」
HuntressがNexShieldを分析したところ、正規の広告ブロッカーであるuBlock Origin Liteのほぼ同一の複製であることが分かりました。システムにインストールされると、この拡張機能は1時間休眠した後、意図的にブラウザをクラッシュさせます。無限に接続要求を発生させてシステムをあふれさせ、利用可能なメモリと処理能力を急速に消費します。
ユーザーがクラッシュしたブラウザを再起動しようとすると、偽のセキュリティ警告が表示され、Windowsの「ファイル名を指定して実行」ダイアログを開いて、クリップボードから修復コマンドを貼り付けるよう指示されます。しかしこの修復コマンドの正体はPowerShellスクリプトで、攻撃者のC2サーバーへの接続を密かに開始し、侵害されたシステムの詳細を送信します。
ModeloRATトロイの木馬
デバイスがドメイン参加(多くの企業システムが該当)している場合、広範なシステム偵察機能を備えたトロイの木馬であるModeloRATが配布されます。このマルウェアは、OS、実行中プロセス、ネットワーク構成、ユーザー権限に関する情報を収集し、解析ツール、仮想マシンの兆候、インストール済みアンチウイルス製品の有無を確認します。
Huntressは、ModeloRATがC2通信にRC4暗号化を使用し、永続化のためにWindowsレジストリの通知を改変していることを確認しました。 検知を困難にするため、このマルウェアはSpotifyやDiscordなどの正規アプリを模した名称を用い、追加のペイロードを目立たない形で隠していました。
Huntressによれば、被害者にクラッシュしたブラウザの「修復」方法を指示するCrashFixのポップアップ自体にも、複数の解析妨害手法が実装されています。これには、開発者ツールのキーボードショートカットをブロックすること、何が起きているのかの手がかりを与えるメニューを無効化すること、テキスト選択を防ぐことが含まれます。
CrashFixは、ClickFixよりも企業組織にとって大きな脅威となる可能性が高いとみられます。というのも、企業システムがKongTukeにとって主要な関心標的であるように見えることに加え、この詐欺が潜在的な被害者にとってはるかに説得力があるためです。実際の技術的問題(ブラウザのクラッシュ)を意図的に作り出し、その後にもっともらしい修復策を提示するという手口は、「ユーザーの苛立ちにつけ込み、自己持続的な感染ループを生み出す」とHuntressの研究者は述べています。
Huntressはこのキャンペーンの侵害指標(IOC)を公開しており、組織に対して、正規のWindowsユーティリティの不審な使用を監視すること、ならびに不審な権限要求や最近作成された拡張機能を監視することを推奨しています。また、正規ソフトウェア名に似せたWindowsレジストリのRunキー内の不審なエントリや、非表示のPowerShellプロセスを生成するPythonコマンドについても監視するよう助言しています。
「KongTukeは明らかに被害者をえり好みしています。通常、Active Directoryや内部リソース、機微データへのアクセスを持つ企業エンドポイントであるドメイン参加マシンは、VIP待遇を受けています」とHuntressの研究者は述べています。「家庭ユーザー向けの分岐がまだ開発中なのか、あるいはKongTukeが、侵害成功時のROIが大幅に高い企業標的のために“最良のおもちゃ”を温存しているのかもしれません。」
