地下フォーラムで活動する脅威アクターが、新しい「ClickFix」ペイロード配信技術を宣伝しています。この技術は、ブラウザキャッシュにマルウェアを隠すことでエンドポイント検出と応答(EDR)ツールを回避します。
脅威アクターの主張
脅威アクターは、この技術が既存のClickFix/FileFixソーシャルエンジニアリングチェーンの進化であると主張しています。これは、Windows File Explorerを介して悪意のあるコードを実行する方法であり、明確なネットワークインジケーターを生成しないという特徴があります。
販売情報
- セットアップ手順と使用可能なビルダーが付属しています。
- Fortinetテーマの罠テンプレートも提供されます。
- 完全なソースコードは300ドルで販売されています。
- カスタマイズや完全に書き換えられたテンプレートを200ドルで追加購入できます。
技術詳細
この新しい「ClickFix」は、ブラウザキャッシュに悪意のあるファイルを隠す「キャッシュスミーキング」テクニックを利用します。ユーザーがフォルダパスを貼り付けたときに、実際にはPowerShellコマンドがトリガーされ、conhost.exe経由で無頭(ヘッドレス)に実行されます。
攻撃の流れ
- ユーザーはフィッシングページを訪問し、JavaScriptがブラウザを偽のJPEGファイルに強制的にリクエストさせます。
- このJPEGには実際にはアーカイブやバイナリが埋め込まれており、Chromeのキャッシュパス(例えばユーザープロフィール内のCache_Data)に自動的に保存されます。
- ユーザーは指示に従ってファイルエクスプローラーのアドレスバーにコマンドを貼り付けます。これによりPowerShellスクリプトが実行され、キャッシュファイルが作業フォルダにコピーされます。
- その後、隠されたペイロードを見つけるための一意のマーカーを探し、埋め込まれたZIPまたは可執行ファイルを抽出してローカルで実行します。この過程では新たなHTTPリクエストが発生しません。
セキュリティ上の影響
「ClickFix via cache smuggling」の組み合わせは、ソーシャルエンジニアリング手法が正当なブラウザやWindows機能を悪用して従来の防御を迂回する方法を強調しています。組織はすでに広範囲にわたるClickFixスタイルのキャンペーンに対処しており、これらの行動に対する検出規則が既に作成されています。
対策
- ファイルエクスプローラーのアドレスバーを使用したPowerShellの起動を監視します。
- 無頭
conhost.exeインスタンス、ブラウザキャッシュディレクトリへの大量アクセス、その後のアーカイブ抽出とプロセス作成イベントを追跡します。 - ブラウザ設定を可能な限り強化し、ユーザーに対する「コピー&ペースト修正」や偽のVPN/コンプライアンスページに関する認識教育を行います。