Macユーザーにも迫る危険性
ClickFix攻撃そのものはWindowsの代名詞のようになっているが、Macユーザーもまた、こうした類似の戦術に対して脆弱であることを改めて認識すべき時が来ている。一見すると特定の目的を果たすように見せかけて、実際にはバックグラウンドでユーザーをハッキングするスクリプトをデバイス上で実行するよう騙されるのだ。
SentinelOne(センチネルワン)は、北朝鮮のハッカーが、Zoomのアップデートを装ったスクリプトをユーザーに実行させ、さまざまなマルウェアペイロードをマシンにインストールして標的を攻撃しているのが確認されたと警告している。
信頼できる連絡先になりすます
「この攻撃チェーンは、今やよく知られたソーシャルエンジニアリングの手法から始まる。信頼できる連絡先になりすましてTelegram(テレグラム)で接触し、Calendly(カレンドリー)経由で会議のスケジュール設定を依頼するというものだ。その後、ターゲットにはZoomの会議リンクと、いわゆる『Zoom SDK更新スクリプト』を実行するための指示が記載されたメールが送られてくる」。
このZoomの事例は、ClickFix攻撃や類似の攻撃が一般的なテクニカルサポートや偽CAPTCHAを装う手口だけでなく、「安全なウェブサイトへのアクセス」や「パスワードで保護された文書を開く」といった口実でユーザーに不正な操作をさせるという多様な手口を持つことを示している。
その偽のZoomスクリプトは、「末尾に3行の悪意のあるコードが含まれており、support.us05web-zoom[.]forumでホストされているコマンド&コントロール(C&C)サーバーから追加のスクリプトを取得して実行する」。このドメイン名は、正規のZoom会議ドメインであるus05web.zoom[.]usと似ているため紛らわしい。
安易にスクリプトを実行するのは厳禁
たとえ知人・友人から送られてきたものであっても、安易にスクリプトを実行するのは厳禁だ。ユーザーのMacにインストールされると、このマルウェアはArc、Brave、Firefox、Google Chrome、Microsoft Edgeといったブラウザーから認証情報を抜き取るように設計されており、ブラウザーにパスワードを保存することの脆弱性も改めて浮き彫りにしている。
用途の異なるペイロードが用意されている点も脅威を複雑化させている。SentinelOneは「脅威と検知のいたちごっこでは、一方が革新すれば他方も対応を迫られる」と指摘し、攻撃者が解析をかく乱するために常に新たな手口を導入していると警鐘を鳴らす。
