FileFixソーシャルエンジニアリング攻撃の新たな亜種が、キャッシュスマグリングを利用して被害者のシステムに悪意のあるZIPアーカイブを密かにダウンロードし、セキュリティソフトウェアを回避します。
この新しいフィッシングおよびソーシャルエンジニアリング攻撃は「Fortinet VPNコンプライアンスチェッカー」を装い、サイバーセキュリティ研究者によって最初に発見されました。
FileFix攻撃に馴染みのない方のために説明すると、これはFileFix攻撃は、Mr.d0xによって開発されたClickFixソーシャルエンジニアリング攻撃の亜種です。ユーザーに悪意のあるコマンドをOSのダイアログに貼り付けさせるのではなく、Windowsのエクスプローラーのアドレスバーを利用してPowerShellスクリプトをステルス実行します。
FileFix攻撃、キャッシュスマグリングで進化
新たなフィッシング攻撃では、ウェブサイトがFortinet VPN「コンプライアンスチェッカー」と偽るダイアログを表示し、ユーザーにネットワーク共有上のFortinetプログラムへの正規のネットワークパスのように見えるものを貼り付けるよう指示します。
出典: Expel
誘導画面には「 \\Public\Support\VPN\ForticlientCompliance.exe」と表示されますが、実際にクリップボードにコピーされる内容ははるかに長く、139個のスペースで埋められており、悪意のあるPowerShellコマンドが隠されています。
このスペースによるパディングのため、訪問者が指示通りにエクスプローラーを開き、アドレスバーにコマンドを貼り付けても、下記のようにパスしか表示されません。
出典: Expel
しかし、キーボードでEnterを押すと、Windowsはconhost.exeを通じてヘッドレスモードで以下の隠されたPowerShellコマンドを実行し、ユーザーには見えません。
出典: Expel
PowerShellコマンドはまず%LOCALAPPDATA%\FortiClient\complianceフォルダを作成し、次に%LOCALAPPDATA%\Google\Chrome\User Data\Default\Cache\Cache_Data\からChromeのキャッシュファイルをそのフォルダにコピーします。
スクリプトは各キャッシュファイルを正規表現でスキャンし、「bTgQcBpv」と「mX6o0lBw」の間のコンテンツを探します。この内容は実際には偽の画像ファイル内に格納されたzipファイルであり、ComplianceChecker.zipとして抽出されて解凍されます。
その後、スクリプトは抽出されたアーカイブからFortiClientComplianceChecker.exe実行ファイルを起動し、悪意のあるコードを実行します。
そもそもどのようにして悪意のあるファイルがChromeのキャッシュファイルに保存されたのか疑問に思うかもしれませんが、ここでキャッシュスマグリング攻撃が登場します。
FileFix誘導を含むフィッシングページにアクセスした際、ウェブサイトはJavaScriptを実行し、ブラウザに画像ファイルを取得させます。
HTTPレスポンスで取得した画像が「image/jpeg」タイプであると宣言されているため、ブラウザはそれを正規の画像ファイルとしてファイルシステムに自動的にキャッシュしますが、実際には画像ではありません。
この処理はエクスプローラー経由でPowerShellコマンドが実行される前に行われるため、ファイルはすでにキャッシュ内に存在し、zipファイルがそこから抽出できるのです。
「この手法はキャッシュスマグリングとして知られており、マルウェアが多様な種類のセキュリティ製品を回避することを可能にします」とHutchins氏は説明します。
「ウェブページもPowerShellスクリプトも明示的にファイルをダウンロードしません。単にブラウザに偽の“画像”をキャッシュさせるだけで、PowerShellコマンドがウェブリクエストを行うことなく、マルウェアがローカルシステムに丸ごとzipファイルを取得できるのです。」
「その結果、ダウンロードファイルをスキャンするツールや、PowerShellスクリプトがウェブリクエストを行っているかを監視するツールでは、この挙動を検知できません。」
脅威アクターたちは、この新しいFileFix手法が公開されるや否や素早く採用し、ランサムウェア集団や他の脅威アクターが自身のキャンペーンで利用しています。
ClickFixジェネレーターがエコシステムを拡大
新たなキャッシュスマグリングFileFix亜種に加え、Palo Alto Unit 42の研究者は、「IUAM ClickFix Generator」と呼ばれる新しいClickFixキットを発見しました。これはClickFix型の誘導を自動生成するツールです。
ClickFix Generatorのインターフェースでは、攻撃者が偽の認証ページをデザインしたり、ページタイトルやテキストをカスタマイズしたり、カラースキームを選択したり、クリップボード用のペイロードを設定したりできます。
出典: Unit 42
このキットはOS検出にも対応しており、Windows用にはPowerShellコマンド、macOS用にはBase64エンコードされたシェルコマンドを用意し、他のOSには無害なデコイを提供する場合もあります。
誘導画面はいずれも偽のCloudflareキャプチャを含んでいるようで、研究者はこのジェネレーターで作成された誘導を利用した複数のウェブサイトを確認しています。
これらのウェブサイトはCloudflare、Speedtest、Microsoft Teams、Claude、TradingView、Microsoft、Microsoft 365などと提携していると主張しています。
出典: BleepingComputer
各誘導は攻撃者のキャンペーンに合わせてカスタマイズされていますが、動作は同じで、ユーザーにコマンドプロンプトや「ファイル名を指定して実行」ダイアログ、またはターミナルで隠されたコマンドを実行させる偽のCloudflare CAPTCHAを表示します。
Unit 42が観測したキャンペーンでは、これらのソーシャルエンジニアリング攻撃によってDeerStealer(Windows)やOdyssey(Mac)インフォスティーラーマルウェア、さらにWindows向けの未知のペイロードがデバイスに感染させられていました。
この種のソーシャルエンジニアリング攻撃が脅威アクターの間でますます人気を集めているため、従業員に対して「ウェブサイトからテキストをコピーしてOSのダイアログボックスで実行しない」ことの重要性を教育することが不可欠です。
