ClickFixマルウェアキャンペーンはすべて、被害者に自分のマシンに感染させるよう騙すことです。
これらのキャンペーンの背後にいる犯人たちは、mshtaおよびPowerShellコマンドがセキュリティソフトウェアによってますますブロックされていることを認識しており、nslookupを使用した新しい手法を開発しました。
初期段階は基本的に以前に見たものと同じです。偽のCAPTCHA指示でボットではないことを証明し、存在しないコンピュータの問題を解決したりアップデートを行ったり、ブラウザクラッシュを引き起こし、さらにはチュートリアルビデオまであります。
目的は、被害者に悪意のあるコマンドを実行させて自分のマシンに感染させることです。悪意のあるコマンドはしばしば被害者のクリップボードにコピーされ、Windows実行ダイアログまたはMacターミナルにコピーするよう指示されます。
Nslookupはインターネット「電話帳」を使用するための組み込みツールであり、犯人たちは基本的にその電話帳を悪用して、単にアドレスを取得するのではなく、指示とマルウェアを密輸しています。
ネットワークの問題をトラブルシューティングし、DNSが正しく構成されているか確認し、奇妙なドメインを調査するために存在しており、プログラムをダウンロードまたは実行するためではありません。しかし犯人たちはサーバを構成して、単に通常のIPアドレスではなく、「応答」の一部が実は別のコマンドまたはマルウェアへのポインタとなるようにデータを返すように設定しました。
マイクロソフトはこれらの悪意のあるコマンドの例を提供しました。
これらのコマンドは外部サーバからZIPアーカイブをダウンロードする感染チェーンを開始します。そのアーカイブから、偵察を実行し、検出コマンドを実行し、最終的にModeloRATをドロップして実行するVisual Basicスクリプトをドロップする悪意のあるPythonスクリプトを抽出します。
ModeloRATはPythonベースのリモートアクセストロイの木馬(RAT)であり、攻撃者に感染したWindowsマシンに対する実践的な制御を与えます。
要するに、サイバー犯人たちは信頼されたテクニカルツールを使用して、被害者が無害に見えるコピー&ペースト支援指示に従うことで、攻撃の次のステップを秘密裏に実行させるもう1つの方法を見つけました。その時点で、彼らがシステムの制御を引き継ぐかもしれません。
安全を保つ方法
ClickFixが蔓延しており、まもなく消えることはないので、認識し、注意深く、保護されることが重要です。
- 速度を落としてください。Webページまたはプロンプト上の指示に従うことを急いではいけません。特にデバイス上でコマンドを実行したりコードをコピー&ペーストするよう求めている場合は注意してください。攻撃者は緊迫感に頼ってあなたの批判的思考をバイパスするため、すぐにアクションを促すページに注意してください。洗練されたClickFixページはカウントダウン、ユーザーカウンター、またはあなたに迅速に行動させるための他の圧力戦術を追加します。
- 信頼できないソースからコマンドまたはスクリプトを実行しないでください。ソースを信頼し、アクションの目的を理解していない限り、Webサイト、メール、またはメッセージからコピーされたコードまたはコマンドを実行しないでください。指示を独立して確認してください。Webサイトがコマンドを実行したり、テクニカルアクションを実行するよう指示している場合は、進める前に公式ドキュメントを確認するか、サポートに問い合わせてください。
- コマンドのコピー&ペーストの使用を制限してください。コピー&ペーストの代わりにコマンドを手動で入力することで、コピーされたテキストに隠された悪意のあるペイロードを知らずに実行するリスクを軽減できます。
- デバイスを保護してください。Webサーフィング保護コンポーネント付きの最新のアンチマルウェアソリューションを使用してください。
- 進化する攻撃技術について自分自身を教育してください。攻撃が予期しないベクトルから来て進化する可能性があることを理解することで、警戒を維持するのに役立ちます。引き続き私たちのブログをお読みください。
プロのヒント:無料のMalwarebytes Browser Guard拡張機能がWebサイトが何かをクリップボードにコピーしようとしたときに警告することをご存知ですか?
