偽のGoogle Meetエラーを表示させてマルウェア感染 新攻撃手法「ClickFix」が登場：セキュリティニュースアラート

Sekoiaは新たなソーシャルエンジニアリング攻撃手法「ClickFix」を発表した。この手法は偽のエラーメッセージを通じてユーザーに悪意のあるコードを実行させ、WindowsやmacOSにマルウェアを感染させる。

[後藤大地，有限会社オングス]

　Sekoiaは2024年10月17日（現地時間）、新たに発見されたソーシャルエンジニアリング攻撃手法「ClickFix」についての調査結果を発表した。

　この手法はWebブラウザを通じて偽のエラーメッセージを表示し、ユーザーに悪意のある「PowerShell」コードを実行させることでシステムにマルウェアを感染させるという。

偽のGoogle Meetでマルウェアを拡散　新たな攻撃手法ClickFixの詳細

　ここ数カ月、ClickFixを利用した複数のマルウェア配布キャンペーンが確認されている。今回の調査でこのキャンペーンが「Windows」や「macOS」のインフォスティーラー、botネット、リモートアクセスツールを拡散していることが分かった。

　同社の調査によると、ClickFix戦術が複数のサイバー犯罪グループによって採用され、これらのグループが「Google Meet」の偽装ページや「Facebook」グループなどを使って攻撃を実行していることが特定されている。暗号通貨詐欺グループ「Marko Polo」のサブグループ「Slavic Nation Empire（SNE）」やロシア語圏のサイバー犯罪グループ「CryptoLove」のサブグループ「Scamquerteo」が偽のGoogle Meetを利用した攻撃を実行しており、企業や個人ユーザーが標的にされていることが判明している。

　ClickFixを使った最近のキャンペーンでは運輸および物流業界や「GitHub」などの開発者コミュニティーが標的にされており、マルウェアの拡散手法としてフィッシングメールや侵害されたWebサイトが多く使用されている。また、Google Meetの偽装ページを使ったキャンペーンではWindows向けのインフォスティーラー「Stealc」や「Rhadamanthys」、macOS向けのインフォスティーラー「AMOS Stealer」が確認されており、ユーザーに対して悪意のあるファイルをダウンロードさせる手法が取られている。

　ClickFixはWebブラウザのセキュリティを回避し、ユーザーを欺いてマルウェアを実行させる特徴がある。「Google Workspace」やGoogle Meetを使う組織が狙われており、暗号通貨やWeb3アプリケーション、分散型金融、NFTユーザーが標的にされている。Sekoiaは他のマルウェア配布キャンペーンにおいても、同様のソーシャルエンジニアリング手法が採用される可能性があると指摘している。