Insikt Groupのサイバーセキュリティ研究者は、ClickFixキャンペーンとして知られる急速に成長する脅威を特定しました。
このアタックは欺瞞的なソーシャルエンジニアリング戦術を使用して、WindowsおよびmacOSユーザーを騙し、自分のコンピュータ上で手動で悪意のあるコマンドを実行させます。
2024年5月以来、専門家はこのキャンペーンの5つの異なるクラスタを追跡しています。複雑なソフトウェアの脆弱性に頼る代わりに、ハッカーは偽の人間確認チェックとエラーメッセージを使用して被害者を罠にかけています。
ユーザーがこれらの偽のページのいずれかに遭遇すると、隠されたコードを複写するように操作されます。
その後、ページは被害者にWindows実行ダイアログボックス、PowerShell、またはmacOSターミナルなどの組み込みシステムプログラムを開き、コードを貼り付けるよう指示します。
これらのコマンドは信頼できる組み込みシステムツールを通じて実行されるため、このアタックは「Living-off-the-Land」手法と見なされます。
ユーザーにコードを自分で実行するよう騙すことで、ハッカーは通常のWebブラウザセキュリティと標準的なアンチウイルスチェックを完全に回避します。
貼り付けられると、スクリプトはコンピュータのメモリ内でサイレントに実行され、パスワードスティーラーやリモートアクセストロイの木馬などの危険なソフトウェアをダウンロードします。
悪意のあるファイルがハードドライブに直接保存されることはないため、セキュリティソフトウェアが検出する痕跡はほとんど残されません。
専門家は、ClickFixが2026年を通じてハッカーがシステムに侵入するための主要な方法であり続けると予測しています。
これらのアタックがより高度になるにつれて、偽のアラートはさらに説得力のあるものになると予想され、被害者の位置またはオペレーティングシステムに基づいて自動的にその外観を調整します。
Windows環境では、これはGroup Policy Objects(GPO)を使用してWindows実行ダイアログボックスをオフにし、PowerShellスクリプトがどのように実行できるかを制限することを意味します。
macOSシステムの場合、管理者はターミナルアプリケーションへのアクセスを制限する必要があります。最後に、組織はこれらのアタックを認識するように従業員を訓練する必要があります。
ユーザーは、正当なウェブサイトがエラーを修正したり、アイデンティティを確認するために、奇妙なコードをシステムツールにコピーして貼り付けるよう求めることは決してないことを理解する必要があります。
翻訳元: https://cyberpress.org/clickfix-hits-native-tools/