新たに特定されたClickFixアタックの亜種は、従来のPowerShellベースの配布をより巧妙なネイティブWindowsユーティリティを活用した手法に置き換えていることが観測され、サイバーセキュリティ研究者の懸念を招いています。
感染はおなじみのClickFixの手口から始まります。CAPTCHA認証プロンプトとして装ったフィッシングページです。
被害者はWin + Rを押し、コマンドを貼り付けて実行するよう指示されます。一見無害なこの操作は、実行可能ファイルをダウンロードせずに多段階のアタックチェーンをトリガーします。
観測されたコマンドはcmd.exeを使用して複数の操作をチェーン化します。まずcmdkeyユーティリティが攻撃者が管理するリモートシステムの認証情報を保存します。
CyberProof脅威研究チームにより文書化されたこのキャンペーンは、攻撃者がいかに継続的に検出回避を目的とした「生存戦略」方法を改善しているかを強調しています。
次に、regsvr32がUNCパスを使用してリモートSMB共有から悪意のあるDLLをサイレントに取得して実行します。このコマンドには正当に見えるようにするためのコメントテキストも含まれており、Cloudflare CAPTCHA認証文字列を模倣しています。
このアプローチにより、攻撃者は認証情報ステージング、ペイロード配布、実行を単一のユーザーが開始するアクションに組み合わせることができ、侵害の可視的な兆候を大幅に削減します。
技術分析
取得されたペイロードであるdemo.dllという名前の64ビットDLLは、DllRegisterServerエクスポート関数を使用してregsvr32経由で実行されます。
DLLは明らかな悪意のある動作を実行する代わりに、CreateProcessAとschtasksを介してスケジュールタスクを生成することで、静かに永続化を作成します。
このキャンペーンの重要な革新点は、スケジュールタスク構成がローカルに保存されていないということです。代わりに、攻撃者が管理するインフラストラクチャでホストされているリモートXMLファイルから取得されます。
「RunNotepadNow」という名前のタスクは、意図的に無害に見えるように設計され、通常のWindows活動に溶け込みます。
2段階目のペイロードはリモートXMLファイルで定義されているため、攻撃者は初期DLLを再配布することなくいつでも動作を修正できます。このモジュール設計により、感染したシステムの最小限のフットプリント維持しながら継続的な更新が可能になります。
マルウェアは攻撃者のインフラストラクチャと通信してタスク定義と二次ペイロードを取得します。この動的アーキテクチャにより、ホストの法医学的痕跡を制限しながら長期的な永続化と柔軟な実行が可能になります。
分析時点では、ペイロードをホストするコマンドアンドコントロールサーバーはオフラインでしたが、設計は将来のキャンペーンのための堅牢で適応可能なフレームワークを示しています。
なぜこれが重要なのか
このClickFix亜種はアタック高度化の明らかな進化を示しています:
- PowerShellおよびrundll32をcmdkeyおよびregsvr32に置き換えます。
- 複数のネイティブユーティリティを単一の実行フローにチェーン化します。
- 信頼されたWindowsバイナリ(LOLBins)に完全に依存します。
- ディスク上の痕跡を最小化し、従来のマルウェア配布を回避します。
悪意のある活動を正当なシステム動作と合わせることで、攻撃者は従来のセキュリティツールが検出しにくいノイズが低い実行パスを実現します。
ステルス性にもかかわらず、アタックは検出可能な兆候を残します:
- &&および&のような連鎖演算子を含むcmd.exeの実行。
- 外部または疑わしいIPアドレスをターゲットとするcmdkeyの使用。
- リモートUNCパスからDLLをロードするregsvr32。
- 外部ホストXMLファイルを使用したスケジュールタスクの作成。
CyberProofはClickFixの手法の進化を引き続き追跡しており、ネイティブWindowsユーティリティの悪用の増加傾向がソーシャルエンジニアリングと組み合わせられていることを指摘しています。
セキュリティチームはこれらの動作の監視、特に実行ダイアログ経由のユーザー主導実行が一般的でない環境での監視を優先すべきです。
これらの方法が成熟するにつれて、防御者はファイルベースの指標のみに依存するのではなく、行動パターンに焦点を当てた検出戦略を適応させる必要があります。
翻訳元: https://gbhackers.com/clickfix-attack-swaps-powershell/
