Australia warns of ClickFix attacks pushing Vidar Stealer malware

オーストラリア・サイバーセキュリティセンター(ACSC)は、情報窃取マルウェア「Vidar Stealer」を配布するソーシャルエンジニアリング手法「ClickFix」を使用したマルウェアキャンペーンが進行中であるとして、各組織に注意を呼びかけています。

ClickFixは、ソーシャルエンジニアリング攻撃手法の1つで、通常、危険なWebサイトや悪意のあるWebサイトに表示される偽のCAPTCHAやブラウザ認証プロンプトを通じて、ユーザーを騙して悪意のあるコマンドを実行させます。

この攻撃は通常、ユーザーを騙してPowerShellコマンドを実行させ、セキュリティ制御を迂回させてマルウェア(通常は情報窃取プログラム)を配信します。

オーストラリアの組織やインフラ事業体は、悪意のあるペイロードにリダイレクトされる侵害されたWordPressウェブサイトを含む攻撃の標的になっています。

これらのウェブサイトを訪問したユーザーには、偽のCloudflare認証またはCAPTCHAプロンプトが表示され、システム上で悪意のあるPowerShellコマンドをコピーして手動で実行するよう指示され、Vidar Stealer感染につながります。

「Australian Signals Directorate’s Australian Cyber Security Center (ASD’s ACSC)は、Vidar Stealerマルウェアを配布するためにWordPressをホストするインフラを活用するClickFix関連の活動を観測した

Vidar Stealerは、2018年後半に出現した情報窃取マルウェアファミリーであり、マルウェア・アズ・ア・サービス(MaaS)である。

費用対効果の高さ、展開の容易さ、幅広いデータ窃取能力から、サイバー犯罪者の間で徐々に人気を集めるようになった。ブラウザのパスワード、クッキー、暗号通貨ウォレット、オートフィル情報、システム詳細情報などを狙う。

Windowsの修正プログラムTikTokの動画GitHubを通じて宣伝されるClickFix攻撃で確認されている。昨年、開発者は機能をアップグレードした新バージョンをリリースした。

ACSCによると、Vidarは感染したデバイス上で起動した後、実行ファイルを削除し、システム・メモリから操作するため、フォレンジック・アーチファクトを減らすことができる。

Vidarは、TelegramボットやSteamプロファイルのようなパブリックサービスを利用した「デッドドロップ」URL経由でコマンド・アンド・コントロール(C2)アドレスを取得します。

ACSCは、このような攻撃によるリスクを軽減するために、組織に対してPowerShellの実行を制限し、アプリケーションの許可リスト化を実施することを推奨している。

また、WordPress サイトの管理者は、テーマやアドオンの利用可能なセキュリティアップデートを適用し、使用していないテーマやプラグインをプラットフォームから削除することをお勧めします。

ACSC のセキュリティ情報では、これらの攻撃に対する侵害の指標(IoC)を提供しているため、組織は防御策を講じたり、侵入を検知したりすることができます。