ニュースに戻る
速報

ClickFixキャンペーンがWindows App-Vを悪用しAmatera情報窃取マルウェアを拡散

1分で読めますソース: BleepingComputer

セキュリティ研究者が、ClickFix手法と偽CAPTCHAプロンプト、署名付きMicrosoft App-Vスクリプトを組み合わせた新たな攻撃キャンペーンを発見。Amatera情報窃取マルウェアの拡散手法と対策を解説。

ClickFix攻撃チェーンがWindows App-Vを悪用しAmatera情報窃取マルウェアを配信

セキュリティ研究者は、ClickFix手法と偽CAPTCHAプロンプト、そして署名付きMicrosoft Application Virtualization(App-V)スクリプトを組み合わせ、Amatera情報窃取マルウェアをWindowsシステムに拡散する新たな悪意あるキャンペーンを発見しました。この攻撃は、セキュリティ制御を回避し、検出を逃れるための進化した戦術を浮き彫りにしています。

攻撃の概要と技術的詳細

このキャンペーンは、ユーザーが悪意あるウェブサイトや**マルバタイジング(不正広告)**に遭遇することから始まります。これらのサイトでは、偽のCAPTCHA認証プロンプトが表示され、被害者がこれを操作すると攻撃チェーンが開始されます。攻撃者は、ClickFixと呼ばれる手法を利用しています。これは、HTMLインジェクションを悪用し、ユーザーのクリックを操作して悪意あるスクリプトを実行する手法です。

さらに、攻撃者はMicrosoft App-Vを悪用します。App-Vは正規のアプリケーション仮想化技術ですが、攻撃者は署名付きApp-Vスクリプトを使用して任意のコマンドを実行します。この手法により、App-VスクリプトがWindowsシステムから本来的に信頼されているため、セキュリティ制限を回避することが可能になります。最終的なペイロードであるAmateraは、認証情報、ブラウザのCookie、暗号通貨ウォレット情報などの機密データを窃取するように設計された情報窃取マルウェアです。

この攻撃の主な技術的要素は以下の通りです:

  • 偽CAPTCHAプロンプト:ユーザーをだまして攻撃を開始させる。
  • ClickFix HTMLインジェクション:ユーザーの操作を操作する。
  • 署名付きApp-Vスクリプト:信頼性の高い状態で悪意あるコマンドを実行。
  • Amatera情報窃取マルウェア:データの窃取と永続化を実行。

影響とリスク評価

Amatera情報窃取マルウェアは、個人および組織に対して重大なリスクをもたらします。このマルウェアが展開されると、以下のような被害が発生する可能性があります:

  • ログイン認証情報ブラウザCookieオートフィルデータの収集。
  • 暗号通貨ウォレット情報やその他の金融情報の窃取。
  • 感染システム上での永続化により、長期的なデータ窃取が可能になる。

署名付きApp-Vスクリプトの使用は、これらのスクリプトがセキュリティソリューションによって通常ホワイトリスト化されているため、検出を困難にします。このキャンペーンは、アプリケーション仮想化ツールおよびユーザーが開始するスクリプト実行の監視強化の必要性を強調しています。

緩和策と推奨事項

このキャンペーンに関連するリスクを軽減するために、セキュリティチームは以下の対策を実施することが推奨されます:

  1. App-Vスクリプトの実行を監視・制限

    • 署名付きApp-Vスクリプトの実行を信頼できるソースに限定するよう監査・制限する。
    • アプリケーションホワイトリストを導入し、不正なスクリプト実行を防止する。

  2. ユーザー啓発の強化

    • 偽CAPTCHAプロンプトや不審なウェブ操作を認識できるよう従業員を訓練する。
    • 異常なポップアップや認証リクエストの報告を奨励する。

  3. 高度な脅威検出の導入

    • **エンドポイント検出および対応(EDR)**ソリューションを活用し、異常なスクリプト実行を監視する。
    • 振る舞い分析を導入し、不正なデータ窃取活動(例:不正なデータ流出)を検出する。

  4. システムの更新とパッチ適用

    • すべてのWindowsシステムおよび仮想化ツールを最新のセキュリティパッチで更新する。
    • ビジネス運用に不要な場合は、App-Vを無効化または制限する。

  5. ネットワークレベルの保護

    • Amateraや類似の情報窃取マルウェアに関連する既知の悪意あるドメインをブロックする。
    • ウェブフィルタリングを導入し、マルバタイジングやフィッシングサイトへのアクセスを防止する。

結論

このキャンペーンは、現代のサイバー脅威の巧妙さを示しています。攻撃者は、ソーシャルエンジニアリング正規ツールの悪用マルウェアの展開を単一の攻撃チェーンで組み合わせています。組織は、このような脅威を効果的に検出・緩和するために、多層的なセキュリティアプローチを採用する必要があります。警戒心、ユーザー教育、そして積極的な監視が、これらの進化する脅威に対抗するために不可欠です。

共有

TwitterLinkedIn