Bleeping Computerは11月24日(米国時間)、「ClickFix attack uses fake Windows Update screen to push malware」において、Windows Updateを悪用するサイバー攻撃に注意を喚起した。

被害者を偽のWebサイトに誘導してWebブラウザーを全画面表示に切り替え、Windows Updateに偽装したコンテンツを表示し、悪意のあるコマンドを被害者自身に実行させる攻撃を確認したという。

  • ClickFix attack uses fake Windows Update screen to push malware

    ClickFix attack uses fake Windows Update screen to push malware

説得力のあるClickFix戦術

この攻撃については、Huntressが詳細な分析レポート「ClickFix Gets Creative: Malware Buried in Images | Huntress」を公開している。同レポートによると、10月初旬ごろからWindows Updateに偽装したWebサイトが複数発見され、被害者環境に情報窃取マルウェア「Rhadamanthys」を配布したとされる。

  • コマンド入力を促す偽Webサイトの例 - 引用:Bleeping Computer

    コマンド入力を促す偽Webサイトの例 引用:Bleeping Computer

これら偽のWebサイトはWindows Updateの完了に必要として、被害者に3つの操作を要求する。これは典型的なClickFix戦術で、指定された操作を実行すると悪意のあるHTMLアプリケーションが実行される。

このHTMLアプリケーションはマルウェアローダーを実行する機能があり、実行後は多段階の攻撃が進行する。攻撃の詳細は省くが、ステガノグラフィー技術、AES暗号、.NETアセンブリ、C#コードの動的コンパイル、エクスプローラーを標的とするプロセスインジェクション、コードのメモリ内実行など、高度な技術を駆使して最終的にマルウェアを展開する。

  • 侵害経路 - 引用:Huntress

    侵害経路 引用:Huntress

緩和策

この攻撃に使用された悪意のあるWebサイトは、レポートが公開された時点でアクセス可能だったと見られる。しかしながら、指定された操作を行ってもHTMLアプリケーションは実行されなくなったという。この原因は明らかになっていないが、レポート公開の数日前に実行された法執行機関の「エンドゲーム作戦」が影響したものと予想されている。

ClickFix戦術は新しい攻撃手段ではないが、簡単かつ有効性が高いとみられ、人気の攻撃手段となっている。攻撃者はさまざまな説得材料を用意し、緊迫感を作り出して被害者の行動を誘導する。

この戦術はWindowsの「ファイル名を指定して実行」機能を悪用するという共通の特徴がある。そこで、Huntressはこの機能を無効にする緩和策を提案している。しかしながら、この緩和策はレジストリを操作するもので、影響範囲が未知数ということもあり推奨していない。

Bleeping Computerは同種の攻撃が広く採用され、高度かつ欺瞞的な誘惑が増加しているとして警戒を呼びかけている。特に、Webブラウザの全画面表示はコンピュータに疎いユーザーを混乱させ、操作の自由を奪うことからリスクがある。したがって、企業や組織、教育機関は全画面表示についてトレーニングを実施し、攻撃回避に使用できるショートカットキー(F11、Alt+Tab、Alt+F4)などを教育することが望まれている。