長年続いているClickFixスキャムの新しい変種が、Windowsユーザーを欺いてWindows Terminalを起動させ、マルウェアを自分自身で貼り付けさせている。これにより、認証情報を盗むLummaインフォスティーラーがブラウザのボルトへのアクセス権を得ることになる。
Microsoftの脅威インテリジェンスによると、このキャンペーンは2月に浮上し、既存のセキュリティ検出の一部を回避するように設計された方法で、おなじみのClickFixの手口を調整している。従来、これらのスキャムは被害者を古いWin + RショートカットでWindows実行ダイアログを開き、偽のCAPTCHAやトラブルシューティングプロンプトによって提供されたコマンドを貼り付けるよう説得しようとしていた。今回、詐欺師たちはユーザーを別の場所に誘導している:Windows + X → Iショートカットであり、これはWindows Terminalを起動する。
セキュリティツールは実行ダイアログから起動された疑わしいアクティビティの検出がかなり得意になっている一方、Windows Terminalは多くの開発者が毎日開く正当な管理ツールである。つまり、通常のシステムアクティビティに紛れ込むのに十分な正常さを持っており、それは攻撃者が望むのと全く同じである。
スキャム自体は、同じ試行錯誤されたソーシャルエンジニアリングの公式を守っている。被害者は検証プロンプト、CAPTCHA確認、またはトラブルシューティングガイドのふりをしているWebページにたどり着く。その後、ページはコマンドをコピーしてWindows Terminalに貼り付けるよう指示する。通常、接続を確認したりエラーを修正したりするような無害な何かとしてフレーミングされている。
被害者が実際に貼り付けるのは、驚くほど手の込んだ一連のイベントを開始する、重くエンコードされたPowerShellコマンドである。
攻撃の1つのバージョンでは、コマンドは自身をアンパックし、名前を変更した7-Zipアーカイブユーティリティのコピーと圧縮されたペイロードをダウンロードする。アーカイブツールはさらなるコンポーネントを抽出し、永続性を確立し、Microsoft Defender除外を操作し、システムおよびブラウザデータの収集を開始する。最終段階はLumma Stealerをデプロイする。一般的なインフォスティーラーであり、ChromeおよびEdgeプロセスに自身を注入して、保存されたログイン認証情報およびその他のブラウザ情報を流出させる。
2番目の感染経路は、同様にエンコードされたコマンドを使用してバッチスクリプトをフェッチし、VBScriptファイルをドロップし、MSBuildを含む組み込みのWindowsユーティリティの混合を使用してそれを実行する。
その時点で、スクリプトは暗号通貨ブロックチェーンインフラストラクチャに接続する。「EtherHiding」と呼ばれることもあるトリックであり、その後、同じ認証情報収集ルーチンを開始する。
ClickFixキャンペーンは1年以上の間流通しており、ユーザー自身が悪意のあるコマンドを実行するよう説得する、悲しいほど信頼できる戦術に依存している。このスキームは、命令をルーチン検証ステップとして偽装することで、様々なインフォスティーラーおよび他の厄介なものを拡散するために既に使用されている。
Microsoftの最新の調査結果は、詐欺師たちが単にセキュリティツールの一歩先を行くために公式を適応させており、正当なターミナルウィンドウでコマンドが実行される場合、多くのユーザーはそれが問題ないと仮定するだろうと賭けていることを示唆している。®
