ClickFixマルウェアキャンペーンは、被害者を騙して自らのマシンを感染させることに全力を注いでいる。
どうやら、これらのキャンペーンの背後にいる犯罪者たちは、mshtaや PowerShellコマンド がセキュリティソフトウェアによってブロックされるケースが増えていることに気づき、nslookupを利用した新たな手法を開発したようだ。
初期段階はこれまで見てきたものとほぼ同じです:ボットではないことを証明するための偽のCAPTCHA指示、存在しないコンピューターの問題や更新の解決、ブラウザのクラッシュを引き起こすこと、さらには説明動画まで含まれます。
被害者に悪意のあるコマンドを実行させ、自身のマシンを感染させるのが狙いです。この悪意のあるコマンドは、Windows 」Mac 貼り付けるよう指示と共に、被害者のクリップボードにコピーされることがよくあります。
Nslookupはインターネットの「電話帳」を利用するための組み込みツールであり、犯罪者たちは単にアドレスを取得するだけでなく、この電話帳を悪用して指示やマルウェアを密かに送り込んでいるのです。
ネットワーク問題のトラブルシューティング、DNS設定の検証、不審なドメインの調査を目的として存在し、プログラムのダウンロードや実行を目的としたものではない。しかし犯罪者らは、サーバーを悪意あるデータで応答するよう設定した。この「応答」の一部は、通常のIPアドレスではなく、別のコマンドやマルウェアへのポインタとして仕組まれている。
マイクロソフトは、悪意のあるコマンドの例として以下を提供しました:
これらのコマンドは感染チェーンを開始し、外部サーバーからZIPアーカイブをダウンロードします。そのアーカイブから悪意のあるPythonスクリプトを抽出し、偵察ルーチンを実行し、検出コマンドを実行し、最終的にModeloRATをドロップして実行するVisualBasic ドロップします。
ModeloRATはPythonベースのリモートアクセストロイ(RAT)であり、攻撃者が感染したWindows 直接制御することを可能にする。
要するに、サイバー犯罪者は信頼できる技術ツールを悪用し、次の攻撃段階を密かに実行させる新たな手法を発見した。被害者が一見無害なコピー&ペーストのサポート指示に従うだけで発動するこの手法により、システム制御権を掌握される危険性がある。
安全に過ごすには
クリックフィックスが猛威を振るっている現状——そして近いうちに収まる気配もない——警戒心を持ち、注意深く、そして身を守ることは重要です。
- 落ち着いてください。ウェブページやプロンプトの指示を急いで実行しないでください。特に、デバイスでコマンドを実行したりコードをコピー&ペーストしたりするよう求められた場合は注意が必要です。攻撃者は緊急性を煽ってあなたの批判的思考を回避しようとします。即座の行動を促すページには警戒してください。洗練されたクリックフィックスページは、カウントダウンやユーザーカウンター、その他のプレッシャー戦術を用いて、あなたを急がせようとします。
- 信頼できないソースからのコマンドやスクリプトの実行は避けてください。ソースを信頼し、その動作の目的を理解していない限り、ウェブサイト、メール、メッセージからコピーしたコードやコマンドを絶対に実行しないでください。指示は独自に確認してください。ウェブサイトでコマンドの実行や技術的な操作を指示された場合は、公式ドキュメントで確認するか、サポートに連絡してから進めてください。
- コマンドのコピー&ペースト使用を制限してください。コピー&ペーストではなく手動でコマンドを入力することで、コピーしたテキストに隠された悪意のあるペイロードを知らずに実行するリスクを低減できます。
- デバイスを保護してください。最新のリアルタイムマルウェア対策ソリューションとウェブ保護機能を使用してください。
- 進化する攻撃手法について学びましょう。攻撃が予期せぬ経路から発生し、進化し続ける可能性があることを理解することが警戒心を維持する助けとなります。引き続き当ブログをご覧ください!
プロの秘訣:無料の Malwarebytes Browser Guard 拡張機能は、ウェブサイトがあなたのクリップボードに何かをコピーしようとすると警告してくれることをご存知ですか?
脅威を報告するだけでなく、お客様のデジタルアイデンティティ全体を保護します
サイバーセキュリティリスクは見出し以上の広がりを決して許さない。本人確認保護サービスを活用し、あなたとご家族の個人情報を守りましょう。
