Securonixは1月5日(米国時間)、「Threat Research: PHALT#BLYX: Fake BSODs and Trusted Build Tools - Securonix」において、ClickFix戦術を用いる新しいマルウェア配布キャンペーン「PHALT#BLYX」を発見したと報じた。

攻撃者はWindowsのブルースクリーン(BSoD: Blue Screen of Death)に似た偽のエラー画面を表示して、被害者自身に悪意のあるコマンドを実行させたという。

  • Threat Research: PHALT#BLYX: Fake BSODs and Trusted Build Tools - Securonix

    Threat Research: PHALT#BLYX: Fake BSODs and Trusted Build Tools - Securonix

ブルースクリーンを悪用する手口

このキャンペーンの初期の侵害経路はフィッシングメールとされる。宿泊予約サイト「Booking.com」を装い、予約キャンセルを通知するメールを送付する。

  • フィッシングメールの例 - 引用:Securonix

    フィッシングメールの例 引用:Securonix

メールに含まれるリンク(ボタン)をクリックすると、正規サイトを忠実に再現した偽サイトが表示される。偽サイトは速やかに「読み込みに時間がかかりすぎています」とのエラーメッセージを表示して、画面中央の「ページの更新」ボタンをクリックするように誘導する。

ボタンをクリックするとWebブラウザは全画面表示に切り替わり、Windowsのブルースクリーンに似た偽のエラー画面を表示する。この演出は不意の出来事に平常心を失わせ、画面の指示に従わせる効果を狙ったと推測されている。

  • 偽のブルースクリーン画面の例 - 引用:Securonix

    偽のブルースクリーン画面の例 引用:Securonix

ユーザーが画面の指示に従ってキーボード操作を実施すると、悪意のあるPowerShellスクリプトが実行され、最終的にマルウェア「DCRat」に感染する。Securonixの調査によると、DCRatはマルウェア・アズ・ア・サービス(MaaS: Malware-as-a-Service)として販売されている高度なマルウェアキットで、ロシアとの関係を示唆するという。

対策

このキャンペーンは典型的なClickFix戦術を使用している。この戦術の特徴的なキーボード操作「Win+R」→「Ctrl+V」→「Enter」を理解し、この一連の操作要求を無視することで攻撃を回避することができる。

加えて、フィッシングメールに対する警戒やフィッシングサイトのURL確認も重要な対策となる。ClickFix戦術はさまざまな誘導方法と合わせて繰り返し攻撃に利用されており、警戒を続けることが推奨されている。