研究者らは、ClickFixの精神で用いられる別の手法を発見した:CrashFixである。
ClickFixキャンペーンは、ユーザーを騙してクリップボードからコマンドを貼り付けさせるため、説得力のある誘い文句(従来は「人間による確認」画面)を使用します。 Windows 、 Mac 動画チュートリアル、その他多くのバリエーションに続き、攻撃者は今やブラウザを意図的にクラッシュさせる拡張機能を導入しています。
研究者らは、有名な広告ブロッカーの模倣品を発見し、「NexShield –Advanced Protection」Chrome 成功した。厳密に言えば、ブラウザをクラッシュさせることは一定の保護効果をもたらすが、ユーザーが通常求める機能ではない。
ユーザーがブラウザ拡張機能をインストールすると、それはホームに連絡する nexsnield[.]com インストール、更新、アンインストールを追跡するため(注:スペルミスあり)。この拡張ChromeアラームAPI(アプリケーションプログラミングインターフェース)を利用し、悪意のある動作を開始する前に60分待機する。この遅延により、ユーザーがインストールと直後のクラッシュを即座に関連付ける可能性が低くなる。
その間を置いた後、拡張機能はサービス拒否ループを開始し、chrome.runtimeポート接続を繰り返し開くことでデバイスのリソースを枯渇させ、ブラウザが応答しなくなりクラッシュするまで継続する。
ブラウザを再起動すると、ユーザーには「ブラウザが異常終了しました」というポップアップが表示されます。これは事実ですが予期せぬことではありません。また、今後同じ現象を防ぐための手順が案内されます。
ユーザーに、今や定番となった開くための指示を表示します Win+R、押す Ctrl+V, Enterキーを押して問題を「修正」します。これが典型的なClickFixの動作です。この拡張機能は既に悪意のあるPowerShellまたはcmdコマンドをクリップボードに配置しています。指示に従うことで、ユーザーは悪意のあるコマンドを実行し、結果的に自身のコンピュータを感染させてしまいます。
デバイスがドメインに参加しているかどうかを確認するためのフィンガープリンティング検査に基づき、現在2つの結果が考えられます。
マシンがドメインに参加している場合、企業デバイスとして扱われ、ModeloRATと呼ばれるPython製リモートアクセストロイの木馬(RAT)に感染する。ドメイン未参加のマシンでは、研究者が「TEST PAYLOAD!!!!」という応答のみを受信したため、ペイロードは現時点で不明である。これは開発が進行中であるか、テストマシンを不適格にした他のフィンガープリンティングが存在する可能性を示唆している。
安全に過ごすには
執筆時点では、この拡張機能はChrome から削除されていますが、間違いなく別の名前で再登場するでしょう。安全を確保するためのヒントをいくつかご紹介します:
- 広告ブロッカーやその他の便利なブラウザ拡張機能をお探しの場合は、本物であることを必ず確認してください。サイバー犯罪者は信頼できるソフトウェアを偽装するのが大好きです。
- 信頼できる情報源から入手したもので、かつその動作の目的を理解している場合を除き、ウェブサイト、メール、メッセージからコピーしたコードやコマンドを実行しないでください。指示は独自に検証してください。ウェブサイトでコマンドの実行や技術的な操作を指示された場合は、公式のドキュメントで確認するか、サポートに連絡してから進めてください。
- デバイスを保護してください。最新のリアルタイムマルウェア対策ソリューションとウェブ保護機能を使用してください。
- 進化する攻撃手法について学びましょう。攻撃が予期せぬ経路から発生し、進化し続ける可能性があることを理解することが警戒心を維持する助けとなります。引き続き当ブログをご覧ください!
プロの秘訣:無料の Malwarebytes Browser Guard 拡張機能は非常に効果的な広告ブロッカーであり、悪意のあるウェブサイトから保護します。また、ウェブサイトが何かをクリップボードにコピーした際に警告し、コマンドを無効化する小さなスニペットを追加します。
脅威を報告するだけでなく、取り除く
サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。
