Windows Centralは2月17日(現地時間)、「Windows CAPTCHA scam uses ClickFix to spread StealC malware|Windows Central」において、偽のCAPTCHA認証ページを悪用する新しいClickFix戦術の発見を伝えた。

これはLevelBlueの調査により明らかになった攻撃手法。CloudflareのCAPTCHA認証ページを模倣して情報窃取マルウェア「StealC」を配布したという。

検出が難しく痕跡が残らない攻撃手法

初期の侵害経路は偽のWebサイトとされるが、LevelBlueがサンプルとして公開したWebサイトは侵害された正規のWebサイトのため、偽サイトとは限らない点に注意が必要だ。

  • 侵害されたベトナム料理店のWebサイトが悪意のあるJavaScriptをロードする例 出典:LevelBlue

    侵害されたベトナム料理店のWebサイトが悪意のあるJavaScriptをロードする例 出典:LevelBlue

これらWebサイトにアクセスすると、Cloudflare認証を模倣したWebページを表示し、人間確認と称してキーボード操作を要求する。指示に従うと「ファイル名を指定して実行」ダイアログが表示され、悪意のあるコマンドが実行される。

このコマンドはメモリ内にスクリプトを直接ダウンロードして実行する手法を採用しており、実行してもファイルなどの痕跡を残さない特徴がある。また、「.NETリフレクション」と呼ばれる技術を用い、APIを動的解決することで検出を回避する。

Windows Centralによると、この操作によってセキュリティ警告が表示されることはなく、コマンドが実行されるという。従来の対策も機能しない可能性があると指摘し、高度な攻撃手法であることを明らかにしている。

「ファイル名を指定して実行」ダイアログは要注意

ClickFix戦術は「ファイル名を指定して実行」ダイアログを呼び出す特徴がある。CAPTCHA認証でコマンド実行を求められることはないため、このダイアログが表示された時点でサイバー攻撃の可能性が強く疑われる。指示には従わず、ダイアログを閉じることで攻撃を回避できる。

また、攻撃回避後もクリップボードに悪意のあるコマンドが残されたままになるため、メモ帳を開いて任意の文字列をコピーするなど、クリップボードをクリアすることが推奨される。ClickFix戦術自体は新しい手法ではないが、このキャンペーンは検出を回避してユーザーに気づかれることなくマルウェアを配布する多段階の攻撃手法に特徴がある。

ClickFix戦術を使用する攻撃手法は進化を続けており警戒の継続が必要だ。正規サイトだからとWebサイトの要求を無条件に受け入れず、不審な動作を確認した際には速やかに作業を中止し、Webブラウザを閉じることが推奨される。