概要
脅威アクターは、Windowsの実行ダイアログボックスとmacOS Terminalを悪用し、ブラウザ保護を回避しながらマルウェアを配布する新しいClickFixベースの攻撃を標準化しています。Insikt Groupによると、この攻撃は2024年5月以来5つの異なる活動クラスターで確認されています。
攻撃手法
これらの攻撃では、ユーザーが技術的な検証や架空のエラーを修正するためにコマンドをコピーして実行するよう誘導します。この方法は、ソフトウェアバグではなくユーザービヘイビアを操作することで機能し、ハード化されたブラウザや自動化されたエンドポイント制御からも保護されます。
攻撃の詳細
脅威アクターは、ユーザーがWindows Runダイアログ、PowerShell、macOS Terminalなどの信頼できるシステムユーティリティで高度にオブファスケートされたコマンドを実行するように誘導します。多くのキャンペーンでは、偽のreCAPTCHAやCloudflareスタイルの人間認証チャレンジを利用してJavaScriptを使用してエンコードされたコマンドをクリップボードに静かにロードします。
技術的な詳細
ClickFixは、4つの段階で構成される標準化されたパターンを採用しています:
- 第1段階:ユーザーが高度なエンコードやフラグメント化された文字列を処理します。
- 第2段階:これらの文字列は、powershell.exe、zsh、またはbashなどの正当なシェルで実行されます。
- 第3段階:ステージャが攻撃者制御ドメインにアクセスします。
- 第4段階:ダウンロードされたコンテンツはメモリ内で実行され、ディスク上にはほとんど痕跡を残しません。
このアプローチは、署名付きバイナリやネイティブツールを使用して多くのエンドポイント防御から逃れ、法的調査を複雑にします。
影響と対策
ClickFix攻撃は、会計(QuickBooks)、旅行(Booking.com)などのセクターを標的にしており、今後も継続的なリスクが予想されます。組織は、Windows Runダイアログの無効化やPowerShellの制約言語モードの強制など、防御策を強化する必要があります。
まとめ
ClickFix攻撃は、ユーザーと静的な防御システムから区別が難しい高度な社会工学的手法であり、組織はユーザートレーニングやエンドポイントの防御強化に取り組むべきです。
元記事: https://gbhackers.com/clickfix-attack-exploits-windows/