公開日: Thu, 13 Mar 2025 11:00:00 -0400
記事のジャンル: Security
Original URL: https://www.bleepingcomputer.com/news/security/clickfix-attack-delivers-infostealers-rats-in-fake-bookingcom-emails/
記事本文(要約)
Microsoftは、Booking.comを装ったフィッシングキャンペーンがClickFixソーシャルエンジニアリング攻撃を用いて、ホスピタリティ業界の労働者を情報スティーラーやRATなどのマルウェアに感染させていると警告しています。このキャンペーンは2024年12月から継続しており、ホテルや旅行代理店を含むホスピタリティ関連の従業員を対象にしています。攻撃者は、従業員のBooking.comアカウントを乗っ取り、顧客の支払い情報や個人情報を盗み、さらなるゲストへの攻撃に利用しようとしています。
ClickFixは偽のエラーを表示し、ユーザーに「修正」や「CAPTCHA」を促す新しい手法で、実際には悪意のあるコマンドが感染につながります。この手法はさまざまな脅威アクターが使用しており、フィッシングメールで偽のCAPTCHAページへ誘導し、マルウェアのダウンロードを行います。被害者は無意識のうちにマルウェアを実行してしまう可能性があります。
このキャンペーンで使用されるマルウェアには、XWorm、Lumma stealer、VenomRAT、AsyncRAT、Danabot、NetSupport RATなどが含まれます。マイクロソフトは、送信者の確認やメール中のリンクを信用せずに独立してアカウントの状態を確認することをおすすめしています。
※この要約はChatGPTを使用して生成されました。
詳細な技術情報
- 脆弱性の仕組み:
- このキャンペーンでは、ユーザーの不注意を利用するソーシャルエンジニアリング技術であるClickFixが使用されています。この技術は、偽のエラーメッセージを表示し、ユーザーにCAPTCHAを解決するように促します。しかし、これらの「修正」やCAPTCHAが実際には悪意のあるPowerShellや他のコマンドを介してマルウェアをダウンロード・インストールする手段です。
- 攻撃手法:
- 1. フィッシングメールによる攻撃: 攻撃者は、Booking.comを装ったメールをターゲットに送信します。メールには、PDFの添付ファイルやリンクが含まれており、これが偽のCAPTCHAページにリダイレクトされます。
- 2. 偽のCAPTCHAページでの誘導: CAPTCHAの解決を装って、ユーザーにmshta.exeコマンドをコピーさせ、WindowsのRunコマンドを通じて実行させます。
- 3. マルウェアのインストール: 改ざんされたコマンドが実行されることで、攻撃者がサーバーから複数のマルウェアをダウンロードし、デバイスにインストールします。
- 潜在的な影響:
- 顧客や従業員の個人情報や財務情報の盗難。
- 被害者のデバイスがリモート操作されるリスク(RATの利用)。
- 不正な金融取引の実行やさらなる攻撃への踏み台となる危険性。
- 組織の信頼性やブランドの損失。
- 推奨される対策:
- 1. メール送信者のアドレスを確認して、送信者の正当性を確認する。
- 2. 緊急を装った指示には慎重になり、安易にクリックしない。
- 3. ログイン情報やアカウント情報の確認は、直接Booking.comのウェブサイトから行い、メール内のリンクを使用しない。
- 4. 従業員に対する継続的なセキュリティ教育を実施し、ソーシャルエンジニアリング攻撃に対する警戒心を高める。
- 5. Eメールフィルタリングやアンチウイルスソフトウェアの利用を強化する。
- 6. Windowsや利用しているOSやソフトウェアは常に最新の状態に保つ。 このフィッシングキャンペーンは、ソーシャルエンジニアリングを活用して、被害者に偽情報を信じ込ませ、悪意のあるコマンドを実行させる高度な手法を用いています。したがって、高度な警戒心と複数の防御策が必要です。
