概要
新たなClickFix攻撃の波が、偽のCloudflareスタイルCAPTCHA検証ページを使用してWindowsユーザーを標的にし、StealCという強力な情報窃取マルウェアを展開しています。
攻撃の仕組み
このキャンペーンは、マルウェアではなく社会工学的手法に頼っているため、技術的なセキュリティ制御だけに依存している組織にとって特に危険です。ユーザーが不正なWebサイトを閲覧すると、JavaScriptによって偽のCloudflare検証ページが静かに読み込まれます。
ユーザーは「確認」ボタンをクリックし、PowerShellコマンドがクリップボードにコピーされます。その後、ユーザーにはWindowsキー + Rを押すよう指示され、Ctrl + Vでクリップボードの内容を貼り付け、Enterキーを押すように求められます。
マルウェアチェーン
PowerShellコマンドが実行されると、Invoke-WebRequestスタイルの機能を使用して攻撃者のインフラストラクチャからローダースクリプトをダウンロードし、直接メモリ内で実行します。このスクリプトは、Windows APIを呼び出すための動的API解決に.NET反射を使用します。
ステージ1のPowerShellローダーが起動すると、遠隔IP(例:91.92.240.219)からcptch.binというシェルコードをダウンロードし、直接メモリ内で実行します。このシェルコードは32ビット位置依存型ペイロードで、Donutフレームワークを使用して生成されています。
StealC窃取者
ステージ3のコンポーネントは64ビットダウンローダーとインジェクターであり、最終的なStealCペイロードを取得し、正当なWindowsプロセス(例:svchost.exe)にインジェクトします。
StealCの機能
StealCは64ビット情報窃取マルウェアで、Microsoft Visual C++を使用してコンパイルされています。このマルウェアは、Base64とRC4暗号化を用いて埋め込み文字列を隠蔽します。
対策
ユーザーは偽の検証プロンプトに注意し、PowerShellのログ記録やクリップボードの使用状況、ネットワーク接続、不自然なPowerShellとsvchostプロセス間の関係を監視する必要があります。
インジケーターオブコムpromise(IOCs)
- IPアドレス: 94.154.35.115, 91.92.240.219, 178.16.53.70, 91.92.240.190
- URL: hxxp://94.154.35.115/user_profiles_photo/cptch.bin, hxxp://94.154.35.115/user_profiles_photo/cptchbuild.bin, hxxp://91.92.240.190/fbfde0da45a9450b.php
- ドメイン: hxxps://goveanrs.org/jsrepo, hxxps://madamelam.com