ClickFixは、ユーザを騙して偽のエラー画面やメッセージを表示し、その解決策として指示された操作(主に不正なコマンドのコピー&ペースト)を実行させることで、ウイルス感染や情報窃取を行うソーシャルエンジニアリング手法です。
通常、これまでよく見られたClickFixは、次のように進みます。
- 偽のメッセージ表示
Web閲覧中に突然「Webページを表示できません」「エラーが発生しました」「あなたはロボットではありませんか?」といった、本物そっくりの偽のエラーメッセージや認証画面が表示されます。 - 解決策を装う
画面上で「エラーを解決するために、以下のコードをコピーして貼り付けて実行してください」といった解決手順を提示します。 - Windows機能の悪用
指示に従い、キーボードで Windowsキー + R (ファイル名を指定して実行)を押させ、クリップボードの内容を貼り付けて実行させるケースが非常に多いです。 - マルウェア感染
実行されたコマンドは、情報窃取型マルウェア(インフォスティーラー)をダウンロード・インストールし、ブラウザに保存されたパスワードやクレジットカード情報、個人情報などを盗み出します。
これは、Windows環境でよく見られるClickFixの流れです。
しかし、手順の一部を少し変更することでも、同じ脅威の状態を維持できるのです。
この流れの一部を変更した活動が確認されました。
Windowsにおいてコマンド実行をすることを考える場合、多くの人が思いつくのは、まずは、「ファイル名を指定して実行」を使う方法と、コマンドプロンプトを使う方法ではないでしょうか。
これらはいずれも多くのClickFixキャンペーンで悪用されてきた手口です。
同じようにmacOSでも、コマンドを実行しようとする場合、通常はWindowsでいうところのコマンドプロンプトに相当するターミナルというアプリケーションを使います。
これはいかにもこれを使ってコマンドを実行します、ということが想定できますので、macOSを使っていてClickFixの流れでターミナルを使うように指示する内容が出てきた場合、ClickFixの知識のあるユーザは警戒することでしょう。
しかし、もしそれがターミナルを使うものではなかったら、どうでしょうか。
ここに、別の方法が追加されました。
最近観測されている脅威活動で、macOSをターゲットにしたものの中に、スクリプトエディタを悪用するものが出てきています。
スクリプトエディタは、AppleScriptやJavaScript(JXA)を記述・実行し、システムやアプリの動作を自動化できる無料の標準ツールです。
ClickFixの悪意ある誘導の中で、コマンド実行させる際に、このスクリプトエディタを使ってコマンド実行するように仕向けます。
スクリプトエディタは、ファイルの編集だけでなく、コマンド実行も可能です。
偽のメッセージ表示で解消すべき問題があることを装い、解決策の提示という体裁で、起動させたスクリプトエディタで悪意あるコマンドを実行させます。
実行してしまうと、そのコマンドは、符号化されて圧縮されたペイロードを外部から入手し、マルウェアをローカルで展開し、実行します。
今回確認されている例で持ち込まれたのは、Atomic Stealerでした。
ターミナルの代わりにスクリプトエディタを使う、これはmacOSでの話ですが、このことはなにもmacOSに限ったことではありません。
Windows環境の利用者も、「ファイル名を指定して実行」を使う方法や、コマンドプロンプトを使う方法に対して警戒するのと同じように、コマンド実行ができる方法を操作することを促された際には、注意が必要です。
ClickFixは、多く警告されている手口であることもあり、この名前や内容を知っている人も多いことでしょう。
しかし、知っているからこその心配事項もある、のかもしれません。
ClickFix technique uses Script Editor instead of Terminal on macOS
https://www.jamf.com/blog/clickfix-macos-script-editor-atomic-stealer/
| この記事をシェア |
|
|---|
