Chrome/Edge/Firefox の偽アップデート:狡猾な手口で誘う ClearFake マルウェア

Researchers warn of increased malware delivery via fake browser updates

2023/10/17 HelpNetSecurity — 最近になって文書化された ClearFake は、侵害した WordPress サイトを利用して、悪意の偽 Web ブラウザ・アップデートをプッシュするものである。この活動は、SocGholish のマルウェア配信キャンペーンを操る、脅威グループにより運営されている可能性が高いと、Sekoia の研究者たちは結論づけている。

ClearFake について

研究者 Randy McEoin が 2023年8月に発表した、マルウェア配信キャンペーンは ClearFake と名付けられた。彼は、「この名前は、Javascript の大部分が難読化されずに使用されていることに由来している」と説明している。

ClearFake の背後にいる脅威アクターは、WordPress サイトを侵害し、攻撃者が所有するドメインから、また、9月28日以降においては、Binance Smart Chain から要求されたスマート・コントラクトの結果値から、JavaScript を注入して別のペイロードをダウンロードする。

その後にダウンロードされたペイロードは、偽のアップデート・インターフェース (悪意のページを隠す) をホストする iframe 要素を作成し、そのインターフェースと、偽のアップデート・コンテンツ、HTML ページをダウンロードする。

侵害されたサイトの訪問者には、続いて Chrome/Edge/Firefox 用の偽のアップデート・ページが表示され、そのページのコンテンツを表示するには、ブラウザのアップデートが必要だと促される。

malware fake browser updates
Chrome 用の ClearFake 偽アップデート・ページ(出典:Sekoia)

Proofpoint の研究者によると、偽のアップデートページでは、ユーザーのブラウザの設定言語に応じて異なる言語 (英語/フランス語/ドイツ語/スペイン語/ポルトガル語) が用いられる。

このトリックに騙されて (Dropboxから) ダウンロードを開始したユーザーは、正規のブラウザ・インストーラを入手するが、同時にモジュール型の HijackLoader や類似の IDAT ローダなどのマルウェアも注入される。

偽アップデートをプッシュする脅威アクターたち

Sekoia の研究者たちは、「HijackLoader に実装される回避テクニックには、コード・インジェクション/システムコールの使用/Windows API ハッシュ化/Heaven’s gate などがある。ここ数ヶ月の間に HijackLoader は、Danabot/Lumma/Raccoon/Redline/Remcos/SystemBC/Vidar などの多数の有名マルウェアを配信した。

ClearFake の運営者たちは、アップデートという誘い文句と、水飲み場のテクニックとリンクさせることで、幅広いユーザーをターゲットとし、効果的でスケーラブルなマルウェア配布キャンペーンを行っている。

Proofpoint は、ClearFake の活動を既知のアクターと結びつけていないが、Sekoia の研究者たちは、SocGholish の背後にいる脅威アクターだと推定し始めている。Sekoia は、「ClearFake の運営者が利用する戦術/技術/手順は、SocGholish (TA569) のものと重複している。具体的な類似点としては、水飲み場の利用/アップデートによる詐欺/Keitaroトラフィック配信システム/Dropbox サービス/キリル文字によるファイル名のマスカレードなどが挙げられる」と述べている。

SocGholish への疑念とは別に、同じ「偽のアップデート」を実行する潜在的な脅威者は他にもいる。Proofpoint は、RogueRaticate/FakeSG および ZPHP/SmartApeSG キャンペーンに関する活動もまとめている。

Proofpoint は、「SocGholish と TA569 は、脆弱な Web サイトを侵害し、偽のブラウザ・アップデートを表示させることが、マルウェア配信の効果的な手法であることを実証している。したがって、それらの手法を学習した新たな脅威アクターたちが、独自の誘い文句を用いた攻撃を開始している。現時点において、それらの模倣者が、情報窃取を行い RAT を展開しているようだが、ランサムウェアの IAB (Initial Access Broker) になる可能性もある」と述べている。

組織を守るセキュリティ・チームは、ユーザー教育/エドポイント保護/ネットワーク検知などに頼る必要がある。

Proofpoint は、「infosec.exchange のアカウント @monitorsg は、便利な公開リソースであり、ペイロードやインフラの変更について、最新かつ詳細な情報を追跡するためのものだ。Emerging Threats Ruleset には、現時点における大半の脅威に対応するドメイン・ルールが用意されており、すべての偽ブラウザ・アップデート・キャンペーンをブロックするための、新しいルールが定期的に更新/公開されている」と述べている。

この種の、多段階 AitM (adversary-in-the-middle) フィッシングの勢いが止まりません。ソフトウェアのアップデートという、ユーザーにとって欠かすことのできないアクションを促し、そのタイミングでマルウェアを流し込むというキャンペーンが多発しています。よろしければ、AiTM で検索も、ご利用ください。