新たなClickFixキャンペーンが、偽の接続エラーを示す不正なGoogle Meetカンファレンスのページにユーザーを誘い込み、WindowsおよびmacOSオペレーティングシステムの情報を盗むマルウェアを配信している。
ClickFixは、ソーシャルエンジニアリングによる手口で、サイバーセキュリティ企業Proofpointが5月に初めて報告したもので、Google Chrome、Microsoft Word、OneDriveのエラーを装ったメッセージを使用する脅威行為者(TA571)によるものです。
このエラーは、Windowsのコマンドプロンプトで実行することで問題を修正するPowerShellコードの一部をクリップボードにコピーするよう被害者に促します。
こうして被害者は、DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、クリップボードハイジャッカー、Lumma Stealerなど、さまざまなマルウェアにシステムを感染させることになる。
McAfeeは7月、ClickFixのキャンペーンが特に米国と日本で頻発していると報告した。
SaaS型サイバーセキュリティ・プロバイダーであるSekoiaの新しいレポートによると、ClickFixキャンペーンは大きく進化し、現在ではGoogle Meetのルアー、輸送・物流会社をターゲットにしたフィッシングメール、偽のFacebookページ、GitHubの欺瞞的な問題を使用しているという。
ソースはこちら:セコイア
フランスのサイバーセキュリティ企業によると、最近のキャンペーンのいくつかは、暗号通貨詐欺ギャングMarko PoloとCryptoLoveのサブチームと考えられている2つの脅威グループ、Slavic Nation Empire(SNE)とScamquerteoによって行われている。
ソースはこちら:セコイア
グーグルミートの罠
Google Meetは、Google Workspaceスイートの一部であり、バーチャルミーティング、ウェビナー、オンラインコラボレーションなど、企業環境で人気のビデオコミュニケーションサービスです。
攻撃者は被害者に、仕事のミーティングや会議、その他の重要なイベントに関連するGoogle Meetの招待状のようなメールを送信します。
URLは実際のGoogle Meetのリンクに酷似しています:
- meet[.]google[.]us-join[.]com
- meet[.]google[.]web-join[.]com
- meet[.]googie[.]com-join[.]us
- meet[.]google[.]cdm-join[.]us
被害者が偽のページにアクセスすると、マイクやヘッドセットの問題など、技術的な問題を知らせるポップアップメッセージが表示されます。
ソースはこちら:セコイア
Try Fix」をクリックすると、標準的なClickFixの感染プロセスが開始され、ウェブサイトによってコピーされたPowerShellコードがWindowsプロンプトに貼り付けられ、「googiedrivers[.]com」ドメインからペイロードを取得し、コンピュータをマルウェアに感染させる。
最終的なペイロードは、Windows上では情報窃取マルウェアのStealcまたはRhadamanthysです。macOSマシン上では、脅威者はAMOS Stealerを「Launcher_v194」という名前の.DMG(Appleディスクイメージ)ファイルとしてドロップします。
Sekoiaは、Google Meet以外にも、Zoom、PDFリーダー、偽ビデオゲーム(Lunacy、Calipso、Battleforge、Ragon)、Web3ブラウザおよびプロジェクト(NGT Studio)、メッセンジャーアプリ(Nortex)など、複数のマルウェア配布クラスターを確認しています。
Comments