ClickFixマルウェア攻撃の新たな手口
ClickFixマルウェア攻撃が進化し、被害者を誘導する動画チュートリアル、時間制限、そしてオペレーティングシステム(OS)の自動検出機能を導入しています。これにより、攻撃者はより巧妙な手口でターゲットに誤ったコマンドを実行させようとしています。
ClickFixとは何か?
従来のClickFix攻撃では、脅威アクターはソーシャルエンジニアリングを利用し、悪意のあるウェブページから提供されるコードやコマンドをユーザーに貼り付けて実行させることで、マルウェア感染を試みていました。身元確認やソフトウェアの問題解決を装うなど、様々な誘い文句が使われ、その最終的な目的は、通常は情報窃取型マルウェアであるペイロードをダウンロード・実行させることにあります。
攻撃手法の進化
以前の攻撃ではテキストによる指示が主流でしたが、最新のバージョンでは埋め込み動画チュートリアルが利用されており、これにより攻撃の疑わしさが軽減されています。Push Securityの研究者たちは、最近のClickFixキャンペーンでこの変化を確認しました。偽のCloudflare CAPTCHA検証チャレンジを装い、被害者のOSを自動的に検出し、そのOSに合わせたコマンドの貼り付けと実行方法を説明する動画チュートリアルをロードします。
さらに、JavaScriptを利用してコマンドを隠し、自動的にユーザーのクリップボードにコピーすることで、手動での入力ミスを減らしています。同じウィンドウ内には、1分間のカウントダウンタイマーが表示され、被害者に迅速な行動を促し、検証プロセスの信頼性や安全性を確認する時間をほとんど与えません。また、「過去1時間に検証されたユーザー」カウンターも表示され、正規のCloudflareボットチェックツールの一部であるかのように見せかけ、欺瞞を強化しています。
標的OSと拡散経路
ClickFix攻撃は以前からmacOSやLinuxを含む主要なOSを標的としていましたが、今回の自動検出と指示の調整は新たな進展です。Push Securityの報告によると、これらの高度なClickFixウェブページは、主にGoogle検索でのマルバタイジング(悪意のある広告)を通じて拡散されています。脅威アクターは、古いWordPressプラグインの既知の脆弱性を悪用して正規のサイトを侵害し、悪意のあるJavaScriptを注入するか、SEOポイズニング戦術を用いて検索結果の上位に表示させています。
ペイロードと将来の脅威
これらの攻撃で配信されるペイロードはOSに依存しますが、WindowsではMSHTA実行ファイルやPowerShellスクリプト、その他様々な「リビング・オフ・ザ・ランド」(OSに標準搭載されているツールを悪用する)バイナリが含まれています。研究者たちは、将来のClickFix攻撃が完全にブラウザ内で実行され、エンドポイント検出・対応(EDR)ソリューションによる保護を回避する可能性もあると推測しています。
ユーザーへの警告
ClickFix攻撃がより説得力のある欺瞞的な形に進化しているため、ユーザーは以下の点を常に認識しておくべきです。ターミナルでのコード実行は、いかなるオンラインベースの検証プロセスの一部でもありえません。また、コピーしたコマンドの内容を完全に理解しない限り、決して実行してはなりません。