Google Meet アラートを偽装:ClickFix 攻撃によるマルウェア配信が蔓延

ClickFix Attack: Fake Google Meet Alerts Install Malware on Windows, macOS

2024/10/17 HackRead — 人気のビデオ会議プラットフォームである、Google Meet のユーザーを標的とするサイバー攻撃が増加していることを、Sekoia のサイバー・セキュリティ研究者たちが検出している。この攻撃では、”ClickFix” 呼ばれる戦術が使用されている。この戦術は 2024年5月に登場したものであり、Google Chrome/Google Meet/Facebook などの正当なサービスを装うことで、ユーザーを騙してマルウェアをダウンロードさせるものだ。

Sekoia のレポートによると、この攻撃者は、Google Meet からの正当なアラートを装う偽のエラー・メッセージを表示し、“Fix It” ボタンをクリックさせるなどのアクションを、ユーザーに実行するよう促している。ただし、それらのアクションにより、秘密裏に悪意のコードが実行され、被害者のデバイスにマルウェアがインストールされていく。

ClickFix Attack: Fake Google Meet Alerts Install Malware on Windows, macOS

ClickFix は、複数のマルウェア・キャンペーンを活用して配布される。Sekoia の研究者たちは、Google Meet ビデオ会議を装い、Windows/macOS ユーザーを標的とする、ClickFix クラスターを分析した。

Windows ユーザーの場合には、偽のエラー・メッセージにより、マイクまたはヘッドセットに問題があると欺き、Stealc/Rhadamanthys などのインフォ・スティーラーをダウンロードする、スクリプトをコピーするよう促される。macOS ユーザーは、AMOS Stealer マルウェアをダウンロードするよう誘導される。

Sekoia は、「このインフラへとリダイレクトする。初期の悪意の Web サイトの多様性を考えると、複数の脅威アクター間で共有されていると確信できる。彼らは、このインフラや、Malware-as-a-Service として販売される AMOS Stealer などの、特定のリソースを共有するために、一元化された Traffers チーム内で協力している」と指摘している。

推定される犯人像

Sekoia による調査の結果として、この ClickFix クラスターを背後で操るのは、Slavic Nation Empire (暗号通貨詐欺チーム Marko Polo と関連) および、Scamquerteo Team」(暗号通貨詐欺チーム CryptoLove のサブグループ) という、2つのサイバー犯罪グループである可能性が高いことが判明した。これらのグループは、暗号通貨資産/Web3 アプリ/分散型金融 (DeFi) のユーザーを、ターゲットにすることを専門としている。

この2つのチームは、同じ ClickFix テンプレートを用いて Google Meet になりすまし、また、資料とインフラを共有していることが示唆される。Sekoia のアナリストたちの推定は、両チームが同じサイバー犯罪サービスを使用して、偽の Google Meet クラスターを提供しており、さらには、サードパーティによるインフラ管理/ドメイン名登録などが行われている可能性が高いというものだ。

これらの攻撃を通じて配信されるマルウェアには、インフォスティーラー/ボットネット/リモートアクセス・ツールなどが取り込まれている。これらの悪意のプログラムにより、機密データ窃取やシステム侵害などが達成され、さらなる攻撃が可能になっていく。

ClickFix が危険な理由

ClickFix の戦術が危険なのは、従来からのセキュリティ対策を回避する点にある。ユーザーの操作による、ファイルの直接的なダウンロードが不要であるため、Web ブラウザーのセキュリティ機能による検出を回避できる。それにより、無防備な被害者を罠にかける可能性が高くなる。

ClickFix 攻撃から身を守るには、予期しないエラー・メッセージを疑い、不明なソースからのスクリプトを検証するだけではなく、ウイルス対策やマルウェア対策などの強力なセキュリティ ・ソフトウェアが使用が必要になる。さらに、2要素認証を有効化し、オンライン・アカウントのセキュリティを強化してほしい。

ClickFix という攻撃のスタイルが流行っており、Google Meet だけではなく、Chrome や Facebook などの正当なサービスを装い、ユーザーを騙してマルウェアをダウンロードさているようです。誰もが遭遇する可能性のある、とても危険な攻撃なので、ご注意ください。よろしければ、Phishing で検索も、ご参照ください。