サイバーセキュリティ研究者によって、野生下で珍しいFileFixキャンペーンが観測されました。この攻撃は、JPG画像内に第2段階のPowerShellスクリプトと暗号化された実行ファイルを隠します。
Acronisのアドバイザリで詳述されたこの攻撃は、被害者に悪意のあるコマンドをファイルアップロードのアドレスバーに貼り付けさせ、その後、強力に難読化されたPowerShellチェーンを実行し、画像をダウンロードして解析し、ペイロードを抽出します。
今回の事例で新しいのは、このキャンペーンが元々の攻撃の概念実証(POC)から逸脱している点です。ClickFix型の攻撃は最近500%以上急増しており、FileFixの概念実証は7月初旬に研究者Mr. d0xによって公開されました。
しかし、この特定の展開は、POCに厳密には従わず、多言語のフィッシングページ、強力なJavaScriptの難読化、そしてステガノグラフィーを用いてコードを隠す、野生下で初めて観測されたものです。
フィッシングインフラとソーシャルエンジニアリング
Acronisによると、フィッシングサイトはMetaのサポートページを模倣し、ユーザーに「ファイルエクスプローラーを開く」よう促し、実際にはペイロードであるパスを貼り付けさせます。
このサイトは16言語の翻訳を含み、過去2週間で複数のバリアントが活動していることから、迅速な改良と世界的な標的化が示唆されます。
FileFixのソーシャルエンジニアリング要素は、ClickFixよりも説得力がある可能性があります。なぜなら、ほとんどのユーザーはファイルアップロードウィンドウには慣れているものの、ターミナルプロンプトには慣れていないためです。この微妙な変化は、攻撃者が日常的なユーザー行動に合わせて誘導手法を洗練させていることを示しています。
ステガノグラフィーについて詳しく読む: 脅威アクターがHijackLoaderとDeerStealerで被害者を標的に
多段階の配信と最終ペイロード
攻撃の感染チェーンは、難読化されたPowerShellのワンライナーから始まり、変数を再構築し、BitBucketにホストされた画像をダウンロードし、定義されたバイト範囲からプレーンテキストの第2段階スクリプトを抽出します。
そのスクリプトはRC4復号とgzip解凍を使い、画像から複数のファイルを切り出し、conhost.exe経由でEXEを実行し、その後削除します。
最終ローダーはGoで書かれており、ハードウェア情報を比較してサンドボックスチェックを行い、その後シェルコードを復号してStealCの展開につなげます。
このインフォスティーラーは、ブラウザ、暗号通貨ウォレット、メッセージングアプリ、クラウドサービスからデータを収集することが可能です。研究者は、StealCがダウンローダーとしても機能し、攻撃者が追加のマルウェアを配信できる柔軟性を持つことも指摘しています。
検知と緩和策
Acronisの研究者による主な推奨事項は、ユーザー教育と技術的防御の両方を強化することに重点を置いています。
組織には、認識向上と積極的なブロック対策を組み合わせた多層的アプローチが推奨されており、具体的には以下が含まれます:
-
ユーザーに、システムダイアログやファイルアップロードのアドレスバーにコマンドを貼り付けないよう教育する
-
Webブラウザから起動されたPowerShell、CMD、MSIEXEC、MSHTAプロセスをブロックする
-
エンドポイント全体で異常なブラウザの子プロセス活動を監視する
このキャンペーンは、FileFixが概念実証からアクティブな脅威へと急速に進化したことを浮き彫りにしています。
ソーシャルエンジニアリング、難読化、ステガノグラフィーを組み合わせることで、攻撃者は検知をより困難にしています。セキュリティチームは警戒を怠らず、ユーザーがこれら新たな*Fix攻撃手法を理解するよう徹底する必要があります。
翻訳元: https://www.infosecurity-magazine.com/news/filefix-steganography-multistage/