Mediumは12月16日(米国時間)、「“DeceptionAds” — Fake Captcha Driving Infostealer Infections and a Glimpse to the Dark Side of Internet Advertising|by Guardio|Dec, 2024|Medium」において、ソーシャルエンジニアリング攻撃手法「ClickFix」の新しい亜種を発見したと伝えた。

この亜種はユーザー自身にマルウェアをインストールさせる新しい手法として、人間確認ツールの「CAPTCHA」を悪用するという。

  • “DeceptionAds” — Fake Captcha Driving Infostealer Infections and a Glimpse to the Dark Side of Internet Advertising|by Guardio|Dec、2024|Medium

    “DeceptionAds” — Fake Captcha Driving Infostealer Infections and a Glimpse to the Dark Side of Internet Advertising|by Guardio|Dec, 2024|Medium

ClickFix戦術の進化

新しいClickFix戦術を発見したGuardioの研究者によると、この攻撃はマルバタイジング(偽のオンライン広告)の一種とのこと。被害者が特定のWebサイトを閲覧しているときに突然CAPTCHAが表示され、一連の操作を通じてボットではないことを証明すると最後に3つのキーボード操作が要求されるという。

操作は「ファイル名を指定して実行」ダイアログの起動と、コマンドを貼り付ける内容になっており、指示に従うと悪意のあるPowerShellコマンドが実行され、最終的に情報窃取マルウェア「Lumma Stealer」に感染する。

  • 3つのキーボード操作を要求する画面の例 - 引用:Guardio

    3つのキーボード操作を要求する画面の例  引用:Guardio

GuardioはInfobloxの協力を得て、この攻撃キャンペーンの詳細を分析している。その結果、このキャンペーンは「Vane Viper」として追跡される脅威アクターが実施した可能性が高く、BeMob広告追跡サービスなどを利用して攻撃を隠蔽していたとされる。

  • 広告配信ネットワークを悪用した侵害経路 - 引用:Guardio

    広告配信ネットワークを悪用した侵害経路 引用:Guardio

責任の所在

今回の攻撃キャンペーンでは、正規の広告配信ネットワークが悪用された。広告配信ネットワークは1社だけで構成されているわけではなく、複数のサービスの集合として機能している。そのため、悪意のある広告を誰が責任を持って排除すべきか明確でないという問題がある。この点について、Guardioの研究者は次のように述べている。

この所有権の断片化は、もっともらしい否認の嵐を引き起こし、責任の所在を特定して規制することを極めて困難にしている。これは悪意のあるキャンペーンが蔓延するのを許容しながら、責任を転嫁するように設計されたシステムだ。

対策

研究者は広告配信に関係したMonetagとBeMobに連絡を取り、すべてのセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を提供した。その結果、攻撃に関与したとみられる200以上のアカウントが削除された。

研究者によると、この処置により今回の攻撃キャンペーンは停止したとみられる。しかしながら、これは悪意のある広告を排除する対策にはならないため、今後も同様の攻撃が実施される可能性がある。Guardioは執筆時点において、すでにMonetagと他の広告配信ネットワークを悪用した攻撃を確認している。

Guardioは今後も監視と報告を継続するとしているが、広告配信ネットワークを運営する各企業の取り組みがなければ堂々巡りとなる。攻撃が繰り返されていることから被害は継続して発生しているとみられ、広告配信ネットワークを運営する各企業には積極的な対策の実施が望まれている。