OCRFix ボットネットとは
OCRFix は、偽の Tesseract OCR ダウンロードサイトと ClickFix スタイルの PowerShell 実行、BNB スマートチェーン上の EtherHiding を使用して、回転するブロックチェーンバックエンド C2 インフラストラクチャを隠すマルチステージボットネットトロイアンキャンペーンです。
ClickFix スフィッシングの仕組み
ユーザーは、Windows PowerShell を開き、悪意のあるスクリプトを実行するためのコマンドをペーストすることで、「自己承認」プロセスが開始されます。この偽サイトは、CAPTCHA の背後でコンテンツをゲートし、ユーザーに PowerShell コマンドを実行させます。
OCRFix ボットネットの特徴
EtherHiding という手法を使用して、C2 情報がスマートコントラクト上に保存されます。これにより、ハードコードされたバイナリではなく、ブロックチェーン上のトランザクション入力フィールドにキー情報を埋め込むことが可能になります。
マルウェアの展開プロセス
OCRFix は、初期 MSI ファイルから始まり、3つの実行ファイルとそれぞれに対応する DLL を経由して最終的なpayloadに到達します。各ステージでは、C2 URL の取得や暗号化アーカイブのダウンロード、システムのパーシステンス設定などが行われます。
ボットコントロールパネル
OCRFix は、ウェブベースのボット管理パネルを提供します。このパネルでは、アクティブなボットの追跡やタスク作成機能が利用可能です。
組織への対策
- ユーザーに対する PowerShell の誤使用と CAPTCHA ルアーに関するトレーニングを実施する。
- スクリプトの実行制御を強化し、PowerShell およびネットワークエグレスを堅牢にする。
- 疑わしいスマートコントラクトをクエリするために使用されるブロックチェーン API サービスへの接続を監視する。