はじめに
新しいFileFix攻撃の亜種が、キャッシュスミッシングという手法を用いてセキュリティソフトウェアの検出を回避し、悪意のあるZIPアーカイブを被害者のシステムに密かにダウンロードしていることが明らかになりました。
この攻撃は「Fortinet VPN Compliance Checker」を装い、サイバーセキュリティ研究者のP4nd3m1cb0y氏によって最初に発見され、Expel社のMarcus Hutchins氏が詳細を報告しています。
FileFix攻撃の概要
FileFix攻撃は、Mr.d0x氏が開発したClickFixソーシャルエンジニアリング攻撃の亜種です。
ユーザーに悪意のあるコマンドをOSのダイアログに貼り付けさせる代わりに、Windowsのファイルエクスプローラーのアドレスバーを利用してPowerShellスクリプトを密かに実行させます。
新たな攻撃手法:キャッシュスミッシング
今回の新しいフィッシング攻撃では、ウェブサイトがFortinet VPNの「Compliance Checker」を装ったダイアログを表示し、ユーザーに正規のネットワークパスのように見えるものを貼り付けるよう指示します。
表示されるパスは「\\Public\Support\VPN\ForticlientCompliance.exe」ですが、クリップボードにコピーされる際には、139個のスペースでパディングされ、悪意のあるPowerShellコマンドが隠されています。
ユーザーがファイルエクスプローラーのアドレスバーに貼り付けてEnterキーを押すと、Windowsは以下の隠されたPowerShellコマンドをヘッドレスモードで実行します。
- まず、
%LOCALAPPDATA%\FortiClient\complianceフォルダを作成し、Chromeのキャッシュファイルからデータをコピーします。 - その後、キャッシュファイルをスキャンして特定の文字列(”bTgQcBpv”と”mX6o0lBw”)間のコンテンツ(実際にはZIPファイル)を抽出し、
ComplianceChecker.zipとして解凍します。 - 最終的に、解凍されたアーカイブから
FortiClientComplianceChecker.exeを実行し、悪意のあるコードを実行します。
キャッシュスミッシングの仕組み
この攻撃の核心はキャッシュスミッシングにあります。
被害者がFileFixの誘いを含むフィッシングページにアクセスすると、ウェブサイトはJavaScriptを実行し、ブラウザに画像ファイルを取得させます。
HTTPレスポンスは取得された画像が「image/jpeg」タイプであると示すため、ブラウザはそれを正規の画像ファイルとして自動的にファイルシステムにキャッシュします。
しかし、この「画像」ファイルには実際には悪意のあるZIPファイルが格納されています。
この手法により、ウェブページもPowerShellスクリプトも明示的にファイルをダウンロードすることなく、ブラウザのキャッシュ機能を利用してセキュリティ製品の検出を回避します。
攻撃の進化:ClickFixジェネレーター
Palo Alto Unit 42の研究者たちは、「IUAM ClickFix Generator」と呼ばれる新しいClickFixキットを発見しました。
このジェネレーターは、ClickFixスタイルの誘いを自動で作成します。
- 攻撃者は、偽の認証ページのデザイン、ページタイトルやテキストのカスタマイズ、配色、クリップボードのペイロード設定が可能です。
- OS検出もサポートしており、Windows向けにはPowerShellコマンド、macOS向けにはBase64エンコードされたシェルコマンドを生成します。
- 生成される誘いは、Cloudflare、Speedtest、Microsoft Teams、Claude、TradingView、Microsoft、Microsoft 365など、様々なサービスを装った偽のCloudflare CAPTCHAが特徴です。
Unit 42が観測したキャンペーンでは、DeerStealer(Windows)やOdyssey(Mac)といったインフォスティーラー型マルウェアの感染に利用されていました。
対策
このようなソーシャルエンジニアリング攻撃が脅威アクターの間でますます普及しているため、従業員への教育が不可欠です。
ウェブサイトからテキストをコピーし、それをOSのダイアログボックスで実行することは絶対に避けるよう、重要性を強調する必要があります。