Source: https://thehackernews.com/2025/09/dprk-hackers-use-clickfix-to-deliver.html
🛡 概要
北朝鮮に関連する脅威アクターが、ClickFixスタイルの手法を用いてBeaverTailおよびInvisibleFerretと呼ばれるマルウェアを配布していることが確認されました。この攻撃は、主に暗号通貨や小売業界のマーケティングやトレーダー職を狙うもので、ソフトウェア開発職をターゲットにする従来の手法とは異なります。特に、Palo Alto Networksによって2023年末に初めて公開されたBeaverTailは、長期にわたる「Contagious Interview」キャンペーンの一環として利用されています。
🔍 技術詳細
BeaverTailは、JavaScriptで書かれており、情報を盗む機能と、InvisibleFerretというPythonベースのバックドアをダウンロードする機能を持っています。最近の攻撃では、ClickFixを利用してBeaverTailを配布し、Windows、macOS、Linux用のコンパイルされたバイナリ形式で提供されています。この新しい手法により、攻撃者はターゲットとなるユーザーに対して偽の技術的エラーを表示し、操作を促すことでマルウェアを展開します。また、BeaverTailの特定のバージョンは、従来の22のブラウザ拡張機能の代わりに8つの拡張機能のみをターゲットにしています。
⚠ 影響
このキャンペーンは、北朝鮮のBeaverTailオペレーターがソフトウェア開発者以外のマーケティングやトレーディング職にターゲットを広げていることを示しています。特に、暗号通貨の偽の求人面接を通じて230人以上が攻撃を受けたと報告されています。この活動は、Cyber Threat Intelligence(CTI)情報を精査し、新たなインフラを評価するための協調的な努力が含まれています。攻撃者は、標的のオペレーティングシステムやアーキテクチャに応じたマルウェアを配布し、被害者の行動を監視する能力を持っています。
🛠 対策
企業やユーザーは、特に暗号通貨や新興技術の分野での求人に対して警戒を強める必要があります。怪しい求人広告や面接を受ける際には、必ず企業の正当性を確認し、リンク先のウェブサイトやアプリケーションの信頼性を評価することが重要です。また、最新のセキュリティソフトウェアを導入し、定期的なアップデートを行うことで、マルウェアの侵入を防ぎましょう。セキュリティ教育を通じて、従業員やユーザーがフィッシング攻撃や社会工学的手法に対する意識を高めることも重要です。
