マイクロソフトのセキュリティ チームは、ユーザーを騙して人間であることを証明するように見せかけ、悪意のあるコマンドを実行させるソーシャル エンジニアリング攻撃 ClickFix に関する詳細なレポートを公開しました。
ClickFixは、標準的なCAPTCHAチャレンジを装っています。しかし、バイクが描かれた四角をクリックしたり、パズルのピースをスライドさせてはめ込んだり、どんどん奇妙な物体を特定の方向に回転させたりする代わりに、ユーザーに何か別の操作を要求します。
偽のCAPTCHAは、Windows/SuperキーとRキー、そしてCtrlキーとVキー、そしてEnterキーを押すように指示します。1週間以上コンピューターを使っている読者なら、この組み合わせはおそらくお分かりでしょうが、Windowsの「ファイル名を指定して実行」プロンプトを開き、攻撃者がクリップボードにコピーした内容を貼り付けて実行します。ユーザーがこの操作をしながら、攻撃者が不正アクセスをしている間、自分がどれほど役に立っているかを考え、心の中で微笑んでいる姿を想像してみてください。
Booking.comから届いた「怒ったゲスト」メール?それは1つ星レビューではなく詐欺です
続きを読む
「過去 1 年間にわたって、Microsoft Threat Intelligence と Microsoft Defender Experts は、ClickFix ソーシャル エンジニアリング手法の人気が高まり、毎日、世界中で何千もの企業やエンドユーザーのデバイスを狙った攻撃キャンペーンが展開されていることを確認しました」と研究チームは調査結果について述べている。
ClickFixの手法は、Booking.comユーザーを狙った最近のフィッシング攻撃で最もよく知られた事例です。攻撃者は、ホテルや宿泊施設の事業者に対し、否定的なレビューや顧客からの問い合わせを装った悪意のあるメールを送信しました。被害者がクリックすると、偽のCAPTCHAテストを備えた攻撃者が管理するサイトへと誘導されました。
「ClickFix は悪意のあるコマンドを実行するために人間の介入に依存しているため、この手法を使用する攻撃は従来の自動化されたセキュリティ ソリューションをすり抜ける可能性があります」と Microsoft の研究者は指摘しています。
ClickFix が何をするかは、完全に攻撃者次第です。Microsoft の調査によると、最も一般的なペイロードは Lumma Stealer です。これは情報窃盗型マルウェアで、年間数千万ドル規模のクレジットカード詐欺に関与したとされ、5 月に国際的な取り組みによって解体されたとされていますが、実際にはその背後にいる者たちの動きを鈍らせただけで、阻止したわけではないようです。
他に確認されているペイロードには、通常はファイルをディスクに書き込まずにメモリ内で動作するものがあり、Xworm、AsyncRAT、NetSupport、SectopRAT などのリモート アクセス型トロイの木馬、Latrodectus や MintsLoader などのファイル ローダー、オープン ソースの r77 プロジェクトに基づくルートキットなどがあります。
マイクロソフトの研究チームは、報告書の中で、ポルトガルの政府機関、金融機関、運輸機関を標的とした攻撃について言及しました。これらの攻撃では、ClickFix が使用されて Lampion 情報窃盗マルウェアが拡散しました。この攻撃では、フィッシングメールによって被害者が ClickFix を使ったページに誘導され、難読化された VBScript ファイルをダウンロードします。この VBScript ファイルは別の VBScript ファイルをダウンロードし、さらに別の VBScript ファイルをダウンロードすることで、ウイルス対策ソフトなどのセキュリティ対策のチェックを行う VBScript ファイルが作成され、その後、スケジュールされた再起動時に最終的なペイロードを配信するための .cmd ファイルが作成されます。
確かに、それは非常に巧妙な策だった。しかし、一つだけ問題があった。「調査中、ダウンロードコマンドがコードからコメントアウトされていたため、実際のLampionマルウェアは配信されなかった」とチームは指摘した。
Microsoftの報告書では、CAPTCHAを装わないClickFixの他の亜種についても詳細に説明されているが、Google reCAPTCHAやCloudflareのTurnstileの人間性証明プラットフォームは依然として偽装手段としてよく使われている。記録されている最も初期の事例の中には、Google Chromeブラウザの「Aw, Snap!」クラッシュレポートページを模倣したものや、Word Onlineで拡張機能が見つからないというMicrosoft独自のエラーを模倣したものもあった。さらに、Discordのランディングページを装う事例も多数発見されており、研究者らはこれを「潜在的な標的の範囲を広げるため」の変化と推測している。
研究者らは、WindowsではなくAppleのライバルであるmacOSを優先するClickFixの亜種も発見した。「興味深いことに、macOSユーザー向けに表示されるルアーの手順はWindowsデバイス向けである」と研究者らは指摘する。しかし、実際のコマンドはユーザーのログイン情報を取得し、ペイロードをダウンロードし、macOSの隔離機能を無効化し、最終的にマルウェアを起動するbashスクリプトである。
- CAPTCHAがDoomを実行 - 悪夢モード
- セキュリティは忘れろ ― GoogleのreCAPTCHA v2はユーザーを搾取して利益を得ている
- フィッシング詐欺における.esドメイン利用の急増
- Cloudflareは、AIスクレイパーボットをジャンクコンテンツの恐ろしい迷路に導くAIを構築しました。
ユーザーが自らを守る方法については、マイクロソフトのアドバイスは主に教育的な内容で、メールフィルタリングを利用してユーザーの受信箱に届くフィッシング詐欺の数を減らすことも推奨されています。同社のレポートでは、ユーザーは「ウェブページが[Adobe] Flashプラグインを自動的に実行しないようにブロックする」ことも推奨されていますが、AdobeがFlash Playerを4年以上前に廃止したことを考えると、これは予想外で、必ずしもタイムリーとは言えないアドバイスです。
Microsoftはまた、PowerShellスクリプトブロックのログ記録と実行ポリシーの使用、複数行を貼り付ける際に表示されるオプションのWindowsターミナル警告の有効化、実行コマンドからのネイティブバイナリの実行を阻止するアプリ制御ポリシーの有効化、さらにはスタートメニューから実行コマンドを完全に削除するグループポリシーの導入を推奨しています。レポートには、セキュリティスキャンシステムに組み込みたい方のために、侵害指標(IOC)もいくつか含まれています。®
