出典:Alina Vytiuk(Alamy Stock Photoより)
これまでで最も広範囲かつカスタマイズされ、洗練されたFileFixキャンペーンが最近、野生化して出現しました。
このFileFixソーシャルエンジニアリング手法がレッドチームの研究者によって考案されてから、まだ3か月も経っていませんが、攻撃者たちはまるで水を得た魚のようにこの手法を使い始めています。例えばここ数週間、Acronisの研究者たちは、これまでで最も成熟したFileFixキャンペーンを観測しました。これには、説得力のあるフィッシング、強力なコード難読化、堅牢なステガノグラフィなどが組み合わされています。
VirusTotalへのアップロード状況から判断すると、このキャンペーンはアメリカからフィリピン、バングラデシュ、チュニジア、ドミニカ共和国、ドイツ、中国、ペルー、ネパール、セルビアなど、世界中のほとんどの地域に到達しています。中心となるフィッシングサイトは少なくとも16言語に翻訳されており、ロシア、インド、日本、ポーランド、スペイン、フランス、マレーシア、パキスタン、そしておそらくさらに多くの国々が標的となっていることを示しています。
FileFixの簡単な解説
2022年半ば、”mr. d0x”という偽名のセキュリティ研究者が新しいタイプのソーシャルエンジニアリング攻撃のアイデアを発表しました。「ClickFix」と名付けられたこの手法は、偽の技術的問題(例えば壊れたCAPTCHAテストなど)を装い、被害者にWindowsの「ファイル名を指定して実行」ダイアログに悪意のあるコマンドをコピー&ペーストさせるものでした。この手法は2024年後半まであまり注目されませんでしたが、攻撃者がその潜在能力に気付き始めると、2025年3月に一気に人気が爆発しました。
出典:Palo Alto Networks
続いて、mr. d0xはClickFixの後継となる手法を開発しました。それが「FileFix」であり、6月に概念実証(PoC)が公開されました。ここでの違いは、「ファイル名を指定して実行」ダイアログ(多くのユーザーにとっては馴染みのないプログラム)ではなく、より身近なファイルエクスプローラーを利用する点です。
この手法はClickFixと同様にシンプルです。攻撃者はユーザーにファイルのアップロードを求めるフィッシングサイトを作成します。ユーザーがアップロードをクリックすると、サイトはPowershellコードをクリップボードにコピーし、エクスプローラーウィンドウを起動します。ユーザーは、ファイルパスと見せかけたコードをエクスプローラーのアドレスバーに貼り付けるよう指示され、Enterキーを押すとコードが実行されます。
ClickFixの有効性が証明されたことで、今回は攻撃者たちもmr. d0xの手法により関心を示したようです。FileFixは公開からわずか数日で、安易に組み立てられた悪意ある攻撃に組み込まれました。そして今や、あるグループがこれを基盤として、意味のある世界規模のフィッシング作戦を展開しています。
事例研究:FileFix攻撃チェーン
このケースでは、最初のフィッシング誘導がFacebookのセキュリティを装うよう設計されています。おそらくフィッシングメールを通じて配信され、ユーザーに「アカウントがまもなく閉鎖されるので、リンク先のウェブサイトで対応が必要」と警告します。サイトでは「アカウントが通報され、1週間後に停止され、180日後には完全に無効化される」と伝えられますが、幸運にもページ上の大きな青いボタンをクリックするだけで異議申し立てができるとされています。
この詐欺は被害者の不安を巧みに利用しています。「異議申し立て」をクリックすると、Metaチームの判断を覆す手順がPDFファイルに記載されていると案内されますが、ファイルのパスをエクスプローラーウィンドウに貼り付けるよう求められます。被害者が知らずに悪意のあるPowershellコードを実行すると、画面には一般的なエラーメッセージが繰り返し表示されます。
その間に、コードは穏やかな自然の画像を描いたJPGファイルをダウンロードします。Acronisの研究者によれば、これらの画像は人工知能(AI)によって生成されたものと考えられています。
出典:Acronis
ステガノグラフィー(情報隠蔽技術)の力により、これらの画像には2つ目のPowershellスクリプトが隠されており、同じJPG内に隠された別のペイロードを実行するよう設計されています。その最終段階であるStealCは、Webブラウザ、暗号通貨ウォレット、クラウドサービス、VPNやメッセージングプラットフォーム、データベースアプリケーションなどの高価値アプリからパスワードやその他の機密情報を収集する人気の商用情報窃取ツールです。
FileFixはClickFixを凌駕するか?
一般的な認識では、フィッシングは被害者の既存のオンライン行動パターンに最も巧妙に溶け込むときに最大の効果を発揮します。つまり、よく知るブランドを装い、仕事のメールでリンクをクリックしたり添付ファイルを開いたりといった、普段から行っていることを求める場合です。そう考えると、FileFixやClickFixがこれほどまでに効果を発揮しているのは驚くべきことです。
「私の推測では、(この手法が有効なのは)まったく予想外のアプローチだからでしょう」とAcronisのシニアセキュリティ研究者Eliad Kimhy氏は語ります。「アップロードウィンドウのアドレスバーからコマンドを実行できることを知っている人はほとんどいません。大半のWindowsユーザーは端末に触れたことすらないでしょう。これにより、一般ユーザーは不意を突かれ、リスクを十分に認識できない状況が生まれます。」
こうした手法の新規性と簡潔さも効果を高めています。「この手法は、ほとんどのフィッシング対策啓発キャンペーンではまだ取り上げられていません。また、ほんの数回ボタンを押すだけなので、コマンドを実行した時点では自分が何をしているのか疑問を持つ余裕すらないかもしれません」とKimhy氏は述べています。
両者を比べると、FileFixはダイアログボックスの代わりにファイルエクスプローラーを使う分、ClickFixよりもやや洗練されている印象です。しかし、特に大きな違いが1つあります。多くのIT管理サービスを持つ組織では、セキュリティ上の理由から従業員やユーザーによる「ファイル名を指定して実行」ダイアログへのアクセスを制限しています。そのため、FileFixは攻撃者にとって、より幅広く価値の高いターゲットを狙う手段となります。
「理論上は、ファイルエクスプローラーにファイルパスを入力する方が端末を開くよりも馴染みがあり、怪しまれにくいため、FileFixの方が有利に思えます。しかし、攻撃者は必ずしも『理論上良いもの』を選ぶとは限りません」とKimhy氏は指摘します。
彼は「今後はセキュリティ担当者がどう対応するかに大きく左右されるでしょうし、攻撃者は両方の手法を使い続ける可能性が高いです。いずれにせよ、近い将来、FileFix攻撃がさらに増加することは間違いないでしょう」と結論付けています。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/innovative-filefix-attack-potent