概要
ClickFixキャンペーンは、偽のLinkedIn VC(ベンチャーキャピタル)アイデンティティを使用して、暗号通貨とWeb3の専門家に対してマルウェアを拡散する高度に調整された攻撃です。
攻撃の手口
攻撃者は、SolidBit Capital、MegaBit、Lumax Capitalなどの架空のファンドの経営者を装って、LinkedIn上で洗練されたプロフィールと個別にカスタマイズされたメッセージを使用します。彼らは、コミュニティの主要な人物、プロジェクトの貢献者、創業者に個人的なメッセージを送り、最近の活動を引用しながら、「資金調達」や「パートナーシップ」の電話を設定するよう促します。
攻撃の詳細
攻撃者は、Calendlyページにリダイレクトされる偽のZoomやGoogle Meetリンクを使用します。これらのリンクは攻撃者が制御するドメインにホストされており、ユーザーがクリックすると、偽のCloudflare CAPTCHAが表示されます。このCAPTCHAは、ユーザーがローカルHTML/CSSで制御される偽のボットチェックを通過したと見せかけます。
ClickFixの仕組み
- 偽のCAPTCHA: 単一のチェックボックスが通常のボットチェックの印象を与えます。
- クリップボードの汚染: JavaScriptが静かにユーザーのクリップボードにOS固有のコマンドを書き込みます。
- ガイド付きターミナル実行: ユーザーがターミナルを開き、クリップボードの内容を貼り付け、Enterキーを押すよう指示します。
攻撃の影響
ユーザーがコマンドを手動で実行するため、多くの従来の防御メカニズムがトリガーされません。これにより、ClickFixは「ユーザーに依存する」攻撃手法として効果的です。
関連情報
このキャンペーンは、MandiantがUNC1069と関連付けている活動と重複しています。UNC1069は、北朝鮮に関連する経済的な動機を持つグループで、クリックフィックス攻撃を偽のZoomミーティングで使用しています。
対策
- 未確認の投資アプローチには注意を払う。
- ドメインと会社を確認する。
- 会議の手順を慎重に検討する。
- ターミナルの指示は即座に停止する。
- 緊急性が示唆される場合は慎重になる。
インジケーターオブコムプロイス(IOC)
| タイプ | 値 | コンテキスト |
|---|---|---|
| ドメイン | zoom[.]us07-web[.]us | 偽のZoomページ、ClickFixペイロードをホスト |
| ドメイン | hedgeweeks[.]online | C2サーバー、Hedgeweekのタイポスクイート |
| URL | calendly[.]com/hureivemykhail/with-solidbit-meeting | ソーシャルエンジニアリングで使用されるCalendlyリンク |