ブルースクリーンは、見たくない画面です。
ブルースクリーンは、Windowsパソコンで深刻なシステムエラーが発生し、正常な動作が停止した際に表示される青い画面のことです。
青い背景にエラーコードや停止コード(STOPコード)が表示され、キーボード操作を受け付けなくなるのが特徴で、メモリ、ドライバー、ウイルス、Windows Updateなどが原因で起こり、再起動しても頻発する場合はハードウェア故障の可能性もあります。
Blue Screen of Deathともいわれます。
このブルースクリーンには出会いたくないものですが、偽のブルースクリーンに出会ってしまう事例が確認されています。
確認されている事例では、それは次のように進みます。
- 偽のBooking.comの準備
攻撃者は偽のBooking.comサイトを準備します。
そのコピー度合いは非常に高度で、正しいカラーパレット、ロゴ、フォントスタイルなど、Booking.comの公式ブランドを使用しています。
このため、画面表示を見ることにおいては、正規のサイトと区別がつきません。 - フィッシングメールの送付
脅威アクターは被害者候補者にフィッシングメールを送ります。
メールはBooking.comから届いたという感じに仕上がっています。
文面では、ホテルの予約をキャンセルした際に高額の請求が発生していることを知らせる内容になっています。
詳細を見るためにクリックしてくださいという流れで、URLをクリックさせます。
ここでクリックさせるのが前述の偽のBooking.comのURLです。 - 偽のエラーの発生
偽のBooking.comのURLの表示が開始されるのですが、表示が完了しません。
しばらく待つと、Webページの表示の真ん中あたりに、ページの読み込みに時間がかかりすぎている旨とページの更新を促すためのボタンと見えるものを表示します。
不自然さは少ないため、この更新用と表示されたボタンをクリックしてしまうかもしません。 - 偽のブルースクリーンの表示
実は先ほどの更新用のボタンは、更新機能を提供するものではありません。
代わりに実行されるのは、偽のブルースクリーンの表示です。
通常のブルースクリーンでは、エラーコードなどの情報が表示されるのみとなっています。
しかしこの偽のブルースクリーンは異なります。
画面のデザインは見事に通常のブルースクリーンと見える仕上がりですが、内容が異なります。
画面にはこの後実施してほしい操作が丁寧に記述されています。
WindowsボタンとRキーを同時に入力し、コピーバッファーをペーストし、エンターキーを入力してください、という内容です。
これ、そのまま、ClickFixの攻撃を実行させる部分と同じ流れです。
よくWindowsを使いなれた方であればブルースクリーンでこんな指示が出るはずがないということはわかりそうなものですが、そうでない方の場合はこの指示に従って操作を実施してしまうかもしれません。
このようにしてこの事例では攻撃が進みます。
ここで指示通りに操作すると、次々に脅威アクターの用意したシナリオが進み、Windows Defenderの無効化からリモートアクセストロイをプロセスに注入されてそれが永続化設定されるところまで進んでしまいます。
キー入力などは持ち出されますし、暗号資産のマイニングも開始されてしまいます。
よく考えてください。
継続処理ができないからブルースクリーンを表示しているのに、指示した操作がそのまま受け入れられて動作するわけがないのです。
脅威アクターは対象者を困らせて焦らせます。
そして正常な判断が実施しにくい状況を作り出し、うっかり指示に従わせようとします。
あの手この手で迫ってきますが、多くの事例を知り、類似の脅威に遭遇しそうな際に気がつけるようになっていきたいですね。
Analyzing PHALT#BLYX: How Fake BSODs and Trusted Build Tools Are Used to Construct a Malware Infection
https://www.securonix.com/blog/analyzing-phaltblyx-how-fake-bsods-and-trusted-build-tools-are-used-to-construct-a-malware-infection/
| この記事をシェア |
|
|---|
