Sucuriは5月23日(米国時間)、「Fake Google Meet Page Tricks Users into Running PowerShell Malware」において、Google Meetを偽装する新しいClickFix戦術を発見したと伝えた。

悪意のあるコードは侵害されたWordPressサイトから発見された。通常は難読化されたJavaScriptやiframeを検出するが、今回はより巧妙で危険なものだったという。

  • Fake Google Meet Page Tricks Users into Running PowerShell Malware

    Fake Google Meet Page Tricks Users into Running PowerShell Malware

シンプルだが発見は困難

WordPressサイトを侵害して訪問者を誘導する場合、多くの攻撃者はプラグインの設定などを改ざんして悪意のあるJavaScriptをWebサイトに埋め込む手法などを用いる。ところが今回の攻撃者は、Google Meetに偽装する自己完結型のHTMLファイルを設置するだけのシンプルな手法を用いたと見られる。

Sucuriの分析によると、このHTMLファイルにはスタイル、ロゴ、レイアウトのすべてが埋め込まれており、外部のJavaScriptやGoogleリソースへのアクセスはないという。また、実際にマイクアクセスを試みるコードが含まれ、難読化もしておらず、疑いの目を持って注意深く検証しなければ無害に見えるとしている。

被害者がこのHTMLファイルにアクセスするとGoogle Meetに偽装した会議への参加画面が表示される。画面の「Join now(今すぐ参加)」ボタンをクリックすると、会議の参加に失敗したことを伝えるエラーメッセージが表示される。

  • エラーメッセージを表示するGoogle Meetの偽サイト - 引用:Sucuri

    エラーメッセージを表示するGoogle Meetの偽サイト 引用:Sucuri

エラーメッセージに表示された「Try Fix(修正する)」ボタンをクリックすると、悪意のあるPowerShellスクリプトがクリップボードにコピーされる。次に「ファイル名を指定して実行」ダイアログからスクリプトを実行するように促すメッセージを表示する。

  • 悪意のあるスクリプトの実行を促す - 引用:Sucuri

    悪意のあるスクリプトの実行を促す 引用:Sucuri

被害者が指示に従うと、PowerShellスクリプトで記述された遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)が実行される。

影響と対策

最終的に実行されるRATには追加のペイロードを配布する機能があり、コンピュータの乗っ取りなど深刻な被害をもたらす可能性があるという。Sucuriは同様の攻撃を回避するため、WordPressサイトの管理者に次のような対策の実施を推奨している。

  • 定期的にWebサイトのマルウェアスキャンを実施する
  • すべてのソフトウェア(WordPress本体、プラグイン、テーマを含む)を最新の状態に維持する
  • 最小権限の原則に従う。また、すべてのアカウントに一意で強力なパスワードを使用し、多要素認証(MFA: Multi-Factor Authentication)を設定する
  • すべてのユーザー入力を適切にサニタイズしているか検証する

ClickFix戦術自体は新しい攻撃手法ではなく、知っていれば回避はそれほど難しくない。Sucuriも仕組みを理解して警戒を怠らなければ同様の攻撃は回避できるとしており、オンラインユーザーには最新の攻撃手法について情報集収を継続し、いつ遭遇しても冷静に対処できるように準備しておくことが望まれている。