概要:進化するソーシャルエンジニアリング攻撃
高度なソーシャルエンジニアリングキャンペーンが、偽の「Word Online」拡張機能エラーメッセージを悪用して、悪名高いDarkGateマルウェアを拡散していることが明らかになりました。この攻撃は、ますます普及している「ClickFix」という手法を利用しています。これは、脅威アクターが正当なトラブルシューティング手順を装った悪意のあるコマンドをユーザーに実行させることで、技術的なエクスプロイトではなく、人間の操作を通じて従来のセキュリティ防御を迂回するものです。
攻撃の手口:初期感染からマルウェア展開まで
攻撃は、ユーザーがブラウザに「Word Online」拡張機能がインストールされていないと主張する不正なメッセージに遭遇することから始まります。HTMLコードの分析により、ページ構造内に複数のBase64エンコードされたコンテンツが埋め込まれていることが判明しました。攻撃者は、リバース関数とネストされたBase64エンコード層を組み合わせた高度な難読化技術を使用しています。このメッセージは、被害者に「修正方法」ボタンをクリックしてドキュメントをオフラインで表示するように促します。しかし、この一見無害なインターフェースの裏には、疑うことを知らないシステムにDarkGateマルウェアを送り込むように設計された多層的な攻撃メカニズムが隠されています。
この攻撃の中核にあるのは、HTMLページの末尾に埋め込まれた悪意のあるJavaScriptスニペットです。被害者が「修正方法」ボタンをクリックすると、スクリプトは隠されたPowerShellコマンドをデコードし、自動的にユーザーのクリップボードにコピーします。その後、攻撃はソーシャルエンジニアリングに依存し、ユーザーに以下の手順を実行するよう指示します。
- Windows+Rを押して「ファイル名を指定して実行」ダイアログを開く
- CTRL+Vを押してクリップボードの内容を貼り付ける
この手順は、疑念を抱かせにくいほど一般的なものです。
デコードされたPowerShellコマンドは、侵害されたWordPressサイト「linktoxic34[.]com」への接続を開始し、「dark.hta」という名前のHTA(HTMLアプリケーション)ファイルをローカルパス「c:\users\public\nC.hta」にダウンロードします。その後、スクリプトはこのファイルを「Start-Process」を使用して実行し、悪意のあるペイロードを起動し、クリップボードをクリアして証拠を削除し、PowerShellセッションを終了して検出を回避します。
実行されると、HTAファイルは攻撃者のインフラストラクチャとの通信を確立し、リモートPowerShellスクリプトを取得します。このスクリプトは、Cドライブにディレクトリを作成し、ユーザーの介入なしに自動的に実行されるAutoIt実行可能ファイルとスクリプトを展開します。AutoItコンポーネント(script.a3x)は、二次ディレクトリを作成し、DES(Data Encryption Standard)アルゴリズムを実装する実行可能ファイルを含む追加ファイルをドロップし、最終的に最終的なDarkGateペイロードとして機能するDOSファイルを展開することで感染チェーンを継続します。
DarkGateマルウェアの脅威
完全に展開されると、DarkGateはコマンド&コントロール(C2)インフラストラクチャとの永続的な通信を確立します。これにより、攻撃者は以下のことが可能になります。
- リモートコマンドの実行
- 機密データの窃取
- 追加マルウェアモジュールの展開
検出と防御策
ユーザー自身が悪意のあるコマンドを意図せず実行するため、従来のウイルス対策ソリューションでは初期の侵害をすぐに検出できない場合があります。ClickFix攻撃の増加は、ソーシャルエンジニアリングにおける憂慮すべき進化を表しており、ユーザーの信頼と標準的なトラブルシューティング手順への慣れを悪用して、技術的なセキュリティ制御を回避します。
しかし、感染したシステムは通常、以下の特徴的な症状を示します。
- パフォーマンスの低下(頻繁なフリーズやクラッシュ)
- 予期しないファイルや変更されたシステム設定
- 不正なブラウザツールバーや拡張機能
- 突然の検索リダイレクトや過剰なポップアップ広告
- コマンド&コントロールサーバーと通信する不審なネットワークトラフィック
組織は、この種の脅威から身を守るために、以下の対策を講じるべきです。
- ClickFix型ソーシャルエンジニアリング戦術を認識することに焦点を当てた包括的なセキュリティ意識向上トレーニングの実施
- PowerShellおよびスクリプトの実行を監視できるエンドポイント検出および応答(EDR)ソリューションの展開
- 不正な実行可能ファイルの実行を防ぐためのアプリケーションホワイトリストの強制
- すべてのシステムおよびブラウザで最新のセキュリティパッチの維持
侵害の痕跡(Indicators of Compromise: IoC)
この攻撃に関連する主要な侵害の痕跡は以下の通りです。
- HTMLファイル SHA-256: 1533221ca97e88f5010b4a8b4d392232034dd07f154b13d4413c19693c0304c3
- Dark.hta SHA-256: ca628638c20f6a67ac80782dc872e1e06b84cda68accf5e912ade6645c689f04
- PSファイル SHA-256: 40be7be16cdaa414898db0014d26afd9cf516ba209f074a95c346227e690acd4
- .Zipファイル SHA-256: fab36431b9760b48eb84d671e7c10e16e0754ec86517d665c10811cd0670e06b
- AutoItスクリプトファイル SHA-256: 4f5f733c7ca71d514991ac3b369e34ce1c3744ff604c88481522edced14cc22c