はじめに
近年、サイバー攻撃の手口は巧妙化の一途を辿っています。その中でも特に注目されるのが、ユーザーを騙して悪意のあるコードを実行させるClickFix攻撃です。最近では、あたかも正規のWindows Updateであるかのように見せかけた偽の画面を利用し、さらにマルウェアを画像内に隠蔽する手口が確認されています。
ClickFix攻撃の概要
ClickFix攻撃は、ユーザーがWindowsコマンドプロンプトにコードやコマンドをペーストして実行するよう仕向け、最終的にシステム上でマルウェアを実行させるソーシャルエンジニアリング攻撃です。この攻撃は、その高い有効性からサイバー犯罪者の間で広く採用されており、より高度で欺瞞的な手口へと進化を続けています。
偽のWindows Update画面を悪用した手口
10月1日以降、研究者らはClickFix攻撃において、危険なコマンドを実行させる口実として、重要なWindowsセキュリティ更新プログラムのインストール完了や、従来の「人間認証」を装う手口を確認しています。偽のアップデートページは、被害者に対し特定のキーシーケンスを押すよう指示し、これによりサイト上で実行されているJavaScriptによってクリップボードに自動的にコピーされた攻撃者のコマンドがペースト・実行される仕組みです。
マルウェアの隠蔽と多段階攻撃
マネージドセキュリティサービスプロバイダーであるHuntress社の報告によると、新たなClickFixの亜種は情報窃取型マルウェアであるLummaC2およびRhadamanthysをドロップします。これらの攻撃では、脅威アクターが最終的なマルウェアペイロードを画像内にエンコードするステガノグラフィーを使用している点が特徴です。悪意のあるコードは、ファイルにデータを単に追記するのではなく、PNG画像のピクセルデータ内に直接エンコードされ、特定のカラーチャネルを利用してメモリ内でペイロードを再構築・復号化します。
最終ペイロードの配信は、Windowsネイティブバイナリであるmshtaを使用して悪意のあるJavaScriptコードを実行することから始まります。このプロセスは、PowerShellコードと.NETアセンブリ(Stego Loader)を使用する複数の段階を経て進行します。Stego Loaderは、暗号化された状態でPNGファイル内に埋め込まれた最終ペイロードを再構築する役割を担います。さらに、Huntress社の研究者は、脅威アクターがエントリポイント関数が10,000もの空の関数を呼び出す「ctrampoline」と呼ばれる動的な回避策も使用していることを確認しました。
最終ペイロードの実行と対策
情報窃取型マルウェアのサンプルを保持するシェルコードは、暗号化された画像から抽出され、Donutツールを使用してパッキングされます。DonutはVBScript、JScript、EXE、DLLファイル、および.NETアセンブリをメモリ内で実行することを可能にします。分析された攻撃では、マルウェアはLummaC2とRhadamanthysでした。
Rhadamanthys亜種は10月にWindows Updateの誘い文句を使用しているのが確認されましたが、11月13日に「Operation Endgame」によってそのインフラの一部が押収されました。Huntress社は、この法執行機関による作戦の結果、依然としてアクティブな偽のWindows Updateドメイン上ではペイロードが配信されなくなったと報告しています。
このようなClickFix攻撃から身を守るために、研究者らは以下の対策を推奨しています。
- Windowsの「ファイル名を指定して実行」(Runボックス)を無効にする。
- explorer.exeからmshta.exeやPowerShellが起動するといった、不審なプロセスチェーンを監視する。
- サイバーセキュリティインシデント調査時には、ユーザーがWindowsの「ファイル名を指定して実行」ボックスに入力したコマンドを確認するためにRunMRUレジストリキーをチェックする。