CyberProofのサイバーセキュリティ研究者が、ClickFixマルウェアキャンペーンの非常に回避的なバリアントを特定しました。
この新しいイテレーションは、ネイティブWindowsユーティリティ、特にcmdkeyとregsvr32ツールを悪用して、従来のマルウェアファイルをローカルディスクにドロップせずにシステムに感染させます。
信頼されたシステムアプリケーションに依存することで、攻撃者は標準的なセキュリティ検出を回避し、侵害されたネットワーク上でステルスプレゼンスを維持できます。
攻撃は標準的なWebセキュリティチェックを模倣する巧妙なソーシャルエンジニアリング戦術から始まります。被害者は、ユーザーが人間であるかどうかを確認するという偽のCAPTCHAチャレンジを表示する侵害されたWebサイトを訪問します。
ページはユーザーにWindowsキーと「R」を押してRunダイアログを開き、提供されたテキスト文字列を貼り付けて、Enterキーを押すよう指示します。
この単一のアクションは、複雑な悪意のあるコマンドのチェーンをトリガーしながら、同時にアクティビティをルーチン検証ステップとして偽装します。
貼り付けられたコマンドは、cmd.exeを使用して複数のアクションを同時に実行する密に連鎖したスクリプトです。
まず、攻撃者のサーバーへのリモートアクセス用の認証情報をサイレントに保存するためにcmdkeyユーティリティを使用します。次に、UNCネットワークパスを使用して外部IPアドレスから悪意のあるリモートDLLファイルを取得して実行するためにregsvr32を使用します。
攻撃者は、スクリプトの最後に偽の「Cloudflare ID」テキストコメントを追加して、文字列を一般ユーザーに対して合法的に見せかけます。
リモートDLLが読み込まれると、被害者のマシンへの長期アクセスがすぐに確立されます。
通常の日常的なシステムアクティビティに溶け込むために、「RunNotepadNow」という意図的に命名されたWindowsスケジュール済みタスクを作成するための隠されたプロセスをトリガーします。
タスク指示をローカルに保存する代わりに、マルウェアは攻撃者のリモートサーバーでホストされているXMLファイルから直接設定を取得します。
このセットアップにより、脅威アクターは被害者のコンピューターに新しいファイルを配置することなく、いつでも第2段階のペイロードを簡単に更新または置き換えることができます。
組織はこの脅威を特定およびブロックするために、以下の防御措置を実装する必要があります:
翻訳元: https://cyberpress.org/clickfix-evades-detection-tools/