🛡 概要
最近発見されたFileFix攻撃は、Metaアカウントの停止警告を偽装し、ユーザーを騙してStealC情報窃取マルウェアを知らずにインストールさせる手法です。この攻撃は、ClickFixファミリーの新しいバリアントであり、社会工学的手法を用いてユーザーを欺き、悪意のあるコマンドをOSのダイアログボックスに貼り付けさせることを目的としています。FileFixは、赤チームの研究者mr.d0xによって開発されました。従来の手法ではPowerShellコマンドをWindowsの実行ダイアログやターミナルに貼り付けさせていましたが、FileFixではファイルエクスプローラーのアドレスバーを悪用してコマンドを実行します。
🔍 技術詳細
新たに発見されたFileFix攻撃は、複数の言語で構成されたフィッシングページを使用し、Metaのサポートチームを装って受信者に警告を発します。このページでは、アカウントが7日以内に無効になるとし、「インシデントレポート」を閲覧するよう指示しますが、実際には文書ではなく、マルウェアをインストールするための隠されたPowerShellコマンドです。ユーザーが「コピー」ボタンをクリックすると、ファイルパスに見せかけたPowerShellコマンドがクリップボードにコピーされます。攻撃者は、ペイロードの末尾に多くのスペースを含む変数を配置し、アドレスバーにファイルパスだけが表示されるようにしています。これにより、クリックフィックス攻撃を検出するように構築されたシステムは、この新しい手法に気付かない可能性があります。さらに、このFileFixキャンペーンは、無害なJPG画像に隠された第二段階のPowerShellスクリプトと暗号化された実行ファイルを使用しています。
⚠ 影響
最終的なペイロードはStealC情報窃取マルウェアで、感染したデバイスから以下のデータを盗むことを試みます。ウェブブラウザの認証情報やクッキー、メッセージアプリの認証情報、暗号通貨ウォレット、クラウド認証情報、VPNおよびゲームアプリの情報、さらにはアクティブデスクトップのスクリーンショットを取得する機能も含まれます。Acronisは、異なるペイロード、ドメイン、誘引を使用したこのキャンペーンの複数のバリエーションが観察されたと報告しています。攻撃者は、攻撃の進行中にインフラをテストしたり、技術的な側面を進化させたりしている可能性があります。
🛠 対策
ほとんどの組織は従業員にフィッシング戦術について教育していますが、ClickFixおよびFileFixの手法は比較的新しく、進化し続けています。Acronisは、企業がユーザーに新しい戦術と、ウェブサイトからのデータを無害に見えるシステムダイアログにコピーするリスクについて教育することを推奨しています。具体的には、悪意のあるリンクをクリックしないこと、クリップボードの内容を確認し、実際に貼り付ける内容を理解することが重要です。また、セキュリティソフトウェアの導入や、定期的な脆弱性診断も効果的です。
