ClickFixとして知られる新たなソーシャルエンジニアリング手法が登場し、欺瞞的なエラーメッセージでユーザーに有害なコードを実行させるよう促します。
SekoiaのThreat Detection & Research(TDR)チームは本日早く公開した新しいレポートで、3月にProofpointが最初に発見したこの手法を詳述しました。この ClearFakeと呼ばれる手法は、ユーザーに悪意のあるPowerShellコマンドをコピーして実行するよう促し、サイバー犯罪者がユーザーのデバイスに感染させられるようにします。
ClickFixは、Google MeetやZoomなど複数のプラットフォームで偽のエラーメッセージを悪用し、ビデオ会議ページ上のエラー通知を模倣してユーザーを誘い込むことがよくあります。
ユーザーがその「エラー」のトラブルシューティングを試みると、意図せず一連のコマンドを開始してしまい、デバイスにマルウェアをダウンロードしてしまいます。動画プラットフォームにとどまらず、ClickFixは偽のCAPTCHAページを用い、悪意のあるコードを作動させる手順を完了するようユーザーに促すことで、WindowsとmacOSの両方のシステムで感染を引き起こすことが確認されています。
WindowsとmacOSで異なる感染チェーン
ClickFixは各OS固有の挙動を利用し、異なるオペレーティングシステムに合わせて手口を適応させます。たとえばmacOSでは、「fix it(修正する)」というプロンプトをクリックしたユーザーは、.dmg形式のマルウェアの自動ダウンロードとインストールを開始する手順へ誘導されます。
Windowsでは、使用される感染クラスターに応じて、悪意のあるmshtaコマンドまたはPowerShellコマンドのいずれかに依存します。mshtaベースの感染では、HTMLアプリケーションに埋め込まれたVBScriptが使用され、PowerShellコマンドはユーザーの入力から直接実行されます。
これらのWindows感染は、しばしばトラブルシューティングの操作を装い、正規のExplorer.exeプロセスから来ているかのように見えるよう特別に設計されているため、マルウェアの検出が困難になります。
ClickFixはGitHubや不審なウェブサイトも利用しており、ユーザーはリダイレクトの連鎖に遭遇して偽のCAPTCHAへ誘導されることがよくあります。これらの欺瞞的なページは、検出が難しい一方で影響の大きい、単純なPowerShellスクリプトを使用します。
マルウェア検出について詳しく読む:AIによりマルウェア検出率が70%向上
検出および防止の手法
ClickFixの検出には専用のツールが必要です。TDRチームは、以下の監視を提案しています:
-
親プロセスがmshta.exeであるPowerShellおよびbitsadminプロセス
-
URLを含むコマンドライン(悪意のあるダウンロードを示す可能性があります)
-
PowerShellが低普及または不審なドメインへ接続するネットワーク活動
「これらの検出手法を脅威インテリジェンスと組み合わせることで、こうした高度なソーシャルエンジニアリング手法に対する防御メカニズムが強化される」とSekoiaは述べています。
「この手法は進化しているため、[私たちは]この配布インフラを継続的に追跡し、この脅威に関連するリスクを軽減するために検出能力を開発していく」
翻訳元: https://www.infosecurity-magazine.com/news/clickfix-fake-errors-malicious-code/
