概要
ハッカーは、「ClickFix」という欺瞞的な手法を使用して高度なNode.jsベースのリモートアクセストロイアン(RAT)を配布している。このキャンペーンでは、ユーザーが偽のCAPTCHAまたは認証プロンプトと対話するように仕向けられ、その結果として悪意のあるコマンドが実行され、合法的なセットアップファイルに見せかけたマルウェアが静かにインストールされる。
攻撃の手順
Netskope Threat Labsは、新しいClickFixキャンペーンを追跡している。この攻撃はユーザーが偽のCAPTCHAページをクリックしたときに始まります。その背後では、ユーザーに見えないBase64エンコードされたPowerShellコマンドが実行されます。このコマンドは、スプーフドドメインから「NodeServer-Setup-Full.msi」という名前の悪意のあるMSIインストーラーをダウンロードし、バックグラウンドで静かにインストールします。
マルウェアの機能
- ファイルレス型アーキテクチャ:この脅威の最も特徴的な機能は、「ファイルレス型」アーキテクチャです。コアの悪意のあるコンポーネントは、ディスク上に保存されません。
- 永続性:マルウェアはWindowsレジストリのRunキーに追加され、システムが再起動するたびに自動的に実行されます。
- Torネットワークを使用:マルウェアはTorネットワークを介してコマンド&コントロール(C2)サーバーと通信します。これにより攻撃者は命令を送信し、盗まれたデータを受け取ることができます。
プロファイリングと追加のペイロード配布
マルウェアは詳細なシステム情報を収集します:
- OSバージョン、ハードウェア仕様、ホスト名。
- 外部IPアドレスおよび地理的位置情報。
- インストールされたセキュリティツール(30以上のアンチウイルス製品がチェックされます)。
これらの情報をもとに攻撃者はターゲットの価値を評価し、クレデンシャルスティーラーまたは暗号ウォレット抽出器などの追加ペイロードを配布します。
MaaSプラットフォームの暴露
研究者は攻撃者のオペレーションセキュリティミスにより、マルウェアのバックエンドシステムで使用されている内部プロトコルファイルが漏洩したことを確認しました。このデータは完全なマラウェアとしてサービス(MaaS)プラットフォームを示しており、多様な機能を提供しています:
- マルチオペレーターダッシュボード。
- 暗号通貨ウォレットの追跡。
- リモートコマンド実行。
- 新しい感染に対するTelegramアラート。
- 自動攻撃ルール。
このキャンペーンは単一のアクターによるものではなく、より大きなサイバー犯罪エコシステムの一環であり、複数の関連会社にツールを提供しています。
結論
ClickFixベースの攻撃は継続的に進化しており、特に偽のCAPTCHAスキャンについて知らないWindowsユーザーに対して重大な脅威です。社会工学、Torネットワークを使用した通信、動的なペイロード配信を組み合わせることで、攻撃者は検出と分析をますます困難にしています。