Sekoiaは10月17日(現地時間)、「ClickFix tactic: The Phantom Meet - Sekoia.io Blog」において、ClickFix戦術を使用して新しいマルウェアを配布するキャンペーンを発見したとして、その分析結果を伝えた。このキャンペーンは2024年6月ごろから確認され、オンライン会議サービス「Google Meet」を装う偽のWebサイトが使用されたという。

  • ClickFix tactic: The Phantom Meet - Sekoia.io Blog

    ClickFix tactic: The Phantom Meet - Sekoia.io Blog

ClickFix戦術とキャンペーンの概要

ClickFix戦術とはProofpointによって特定されたサイバー攻撃手法であり、Webブラウザに偽のエラーを表示し、回復手順に見せかけた攻撃手順をユーザー自身に実行させる。PowerShellなどの知識を持つユーザーは攻撃を回避できると考えられるが、操作に慣れていないユーザーはだまされる可能性がある。

今回確認されたキャンペーンでは、オンライン会議サービス「Google Meet」に似せたWebサイトが使用された。攻撃者は最初に偽の会議への招待状を送付し、正規URLに似せた次のWebサイトのいずれかに被害者を誘導した(これら以外のURLの可能性もある)。

  • meet[.]google[.]us-join[.]com
  • meet[.]googie[.]com-join[.]us
  • meet[.]google[.]com-join[.]us
  • meet[.]google[.]web-join[.]com
  • meet[.]google[.]webjoining[.]com
  • meet[.]google[.]cdm-join[.]us
  • meet[.]google[.]us07host[.]com
  • googiedrivers[.]com

偽のWebサイトはアクセス直後にマイクやカメラの異常を通知し、ユーザーに修復の選択肢を提供する。ユーザーが修復ボタンをクリックすると、悪意のあるコマンドがクリップボードにコピーされ、修復手順が表示される。手順に従い操作を実施すると、最終的にマルウェアに感染する。

  • Google Meetを装うWebサイトの例 - 引用:Sekoia

    Google Meetを装うWebサイトの例 - 引用:Sekoia

配布されるマルウェアはユーザーのオペレーティングシステムごとに異なる。Windowsユーザーには「Stealc」および「Rhadamanthys」が配布され、Macユーザーには「AMOS Stealer」が配布される。

このキャンペーンはロシア語圏のサイバー犯罪エコシステムを構成する複数のグループが実施したとされる。いずれのグループも同じマルウェア・アズ・ア・サービス(MaaS: Malware-as-a-Service)を利用したと推測されているが、詳細は明らかになっていない。

対策

ClickFix戦術では偽のエラー表示し、ユーザー自身に攻撃を実行させる。その際、クリップボードに悪意のあるコマンドをコピーし、ユーザーに貼り付け操作(Ctrl+V)をさせる。そのため、同様のエラーおよび回復手段の通知に注意し、特に動作不詳の貼り付け操作を要求された場合は無視することが推奨される。

なお、メモ帳などの実行機能を持たないアプリに貼り付けてコマンドを精査することも可能だが、難読化されている場合は攻撃を認識することは困難と考えられ、専門家以外には推奨されない。