偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導

2024年6月17日　Proofpoint は「TA571 」や「ClearFake 」と呼ばれる、偽のグーグル クローム、Microsoft Word、Microsoft OneDriveのエラーを使用して、ユーザーを騙し、マルウェアをインストールする悪意のある PowerShell「修正プログラム」を実行させるキャンペーンを観測した事を発表しました。

概要

Proofpoint は、ユーザーに悪意のある PowerShell スクリプトをコピーして貼り付けさせ、コンピューターをマルウェアに感染させるという、独自のソーシャル エンジニアリングを利用した手法が増加していることを確認しています。

脅威活動グループ「TA571」 や複数の脅威アクターは、この手法を使用して、「DarkGate」、「Matanbuchus」、「NetSupport」、などさまざまな情報窃盗を目的としたマルウェアを配信しています。  

マルウェア配布の手口

ユーザーには、

1:ドキュメントまたは Web ページを開こうとしたときにエラーが発生したことを示すポップアップ テキスト ボックスが表示され

2:悪意のあるスクリプトを PowerShell ターミナルまたは Windows の [実行] ダイアログ ボックスにコピーして貼り付けさせる

３：最終的に PowerShell 経由でスクリプトを実行するように指示されます。  

Proofpoint は、この手法を「 TA571」 によって 2024 年 3 月 1 日には早くも観測しており、「ClearFake」によって 4 月初旬に、また両クラスターによって 6 月初旬に観測しています。 

なお、最初のキャンペーンがマルスパム（Malspam：悪意のあるスパムメール）で開始されるか、

Web ブラウザ インジェクション経由で配信されるかにかかわらず、マルウェア配布の手口は同様でした。

脅威・攻撃クラスターの概要

この攻撃キャンペーンは、「ClearFake」、「ClickFix」と呼ばれる新たな攻撃クラスターや「TA571」と呼ばれる、大量の電子メールを送信してマルウェアやランサムウェアの感染を引き起こすスパム配信者として活動していることで知られる脅威アクターなど複数の脅威アクターによって使用されていることが確認されています。

ClearFakeは偽のグーグルクロームのエラーページを装う

ClearFake は、悪意のある HTML と JavaScript を使用して正規の Web サイトを侵害する、偽のブラウザ更新を用いて攻撃するグループです。  

Proofpoint は2024年4 月初旬の ClearFake キャンペーンで初めてこの手法を観察し、それ以降のすべての ClearFake キャンペーンでこの手法が使用されていることを確認しています。

観察されたキャンペーンでは、ユーザーが侵害されたウェブサイトを訪問すると、インジェクション（不正コードの注入）により、ウェブサイトがBinanceのスマートコントラクトを介してブロックチェーン上にホストされた悪意のあるスクリプトを読み込むようになっていました。

この手法は「EtherHiding（イーサハイディング）」として知られています。

最初のスクリプトは次にKeitaro TDSを使用してフィルタリングされたドメインから第二のスクリプトを読み込みました。

この第二のスクリプトが読み込まれ、さまざまなチェックを通過し、被害者がウェブサイトの閲覧を続けると、侵害されたウェブサイト上に偽の警告オーバーレイが表示されました。

この警告は、ウェブサイトを正しく表示するために「ルート証明書」をインストールするよう指示していました。

偽のグーグルクロームのエラーページで「ルート証明書」のインストールを促す

偽のグーグル クローム ページでは以下の内容が表示されています。

あら、大変！このウェブページの表示中に問題が発生しました。

このウェブページを正しく表示するには、ルート証明書をインストールする必要があります。 「修正」ボタンをクリックして、次の手順に従ってください。

画像引用：Proofpoint 

メッセージには、ボタンをクリックして PowerShell スクリプトをコピーする手順が含まれ、被害者のコンピューターでこのスクリプトを手動で実行する手順が示されていました。

指示に従うと、ユーザーは PowerShell を PowerShell CLI に貼り付けて実行させられます。

2 番目の攻撃チェーンは「ClickFix」キャンペーンに関連しており、侵害された Web サイトにインジェクションを使用して iframe を作成し、別の偽の Google Chrome エラーをオーバーレイします。

PowerShell スクリプトが実行されると

PowerShell スクリプトが実行されると、デバイスが有効なターゲットであることを確認するためのさまざまな手順が実行され、次に、以下に概説されているように追加のペイロードがダウンロードされます。

• DNS キャッシュをフラッシュします。
• クリップボードの内容を削除します。
• デコイメッセージを表示します。
• 別のリモート PowerShell スクリプトをダウンロードします。このスクリプトは、情報窃盗プログラムをダウンロードする前に VM 対策チェックを実行します。

画像引用：Proofpoint 

ユーザーは「Windows PowerShell (管理者)」を開いて提供されたコードを貼り付けるように指示され、上記と同じ感染を引き起こします。

攻撃クラスター「TA571」偽のMicrosoft Wordを装ったキャンペーン

Proofpoint は、2024 年 3 月 1 日のキャンペーン「 TA571」がこの手法を使用していることを初めて確認しました。このキャンペーンには 10 万件を超えるメッセージが含まれ、世界中の何千もの組織が標的にされていました。 

偽のMicrosoft Word に似たHTMLファイルをメールで添付

このキャンペーンでは、フィッシングメールに Microsoft Word に似たページを表示する HTML 添付ファイルが含まれていました。  

フィッシングメールの和訳した内容

こんにちは、

プロジェクト予算の概要書を添付しました。下記のファイルをご確認ください。

何かご不明な点がございましたら、お気軽にお問い合わせください。

よろしくお願いいたします。

1 添付ファイル: scan-03-01-24_9803.html 5.2 KB

原文のメール

画像引用：Proofpoint 

フィッシングメールをクリックした後の偽のMicrosoft Wordページへ遷移

偽のMicrosoft Wordページには、

「『Word Online』拡張機能がインストールされていません」というエラー メッセージも表示され、「修正方法」と「自動修正」という 2 つの続行選択肢が提示されました。

画像引用：Proofpoint 

修正方法をクリック

「修正方法」ボタンをクリックすると、base64 でエンコードされた PowerShell コマンドがコンピューターのクリップボードにコピーされ、ページ上のメッセージが変わり、ターゲットに PowerShell ターミナルを開いてコンソール ウィンドウを右クリックするように指示します。

ターミナル ウィンドウを右クリックすると、クリップボードの内容が貼り付けられ、PowerShell が実行されます。Proofpoint は、これらのファイルで 2 つの異なる PowerShell コマンドを確認しました。

1 つは MSI ファイルをダウンロードして実行するもので、もう 1 つは VBS スクリプトをダウンロードして実行するものでした。 

自動修正をクリック

「自動修正」ボタンをクリックすると、search-ms プロトコルによって、 Windows エクスプローラーに同様の WebDAV ホストの「fix.msi」または「fix.vbs」が表示されました。

MSIファイルやVBScriptが実行されると

ダウンロードされたMSI はバンドルされた DLL「Inkpad3.dll」を LOLBAS コマンド「msiexec -z」で実行しました。

このコマンドは DLL（Windowsのプログラムファイルの種類の一つ。拡張子.dll）の DllUnregisterServer 関数を実行し、別の DLL「Inkpad_honeymoon.msp」をドロップして実行しました。

これにより、マルウェア「Matanbuchus」がインストールされました。VBスクリプトが実行されると、PowerShell を使用して マルウェア「DarkGate」 をダウンロードして実行しました。  

攻撃クラスター「TA571」偽のMicrosoft OneDriveを装うキャンペーン

Proofpoint は、TA571 が2024 年 3 月 1 日のキャンペーンで同様の攻撃チェーンを使用していることを確認しました。

さまざまな視覚的なフィッシングを使用し、

・被害者に PowerShell ターミナルを開くように指示するか

・Windows ボタン + R を押して [実行] ダイアログ ボックスを使用するように指示するか

をさまざまに変えていました。また、攻撃者はコピー/貼り付けに関する文言を削除し、被害者がクリップボードにコピーされたことを知る必要がないという事実を悪用しました。最近の例をいくつか示します。 

偽のMicrosoft OneDrive ページを装う

2024 年 5 月 27 日、TA571 は、OneDrive でホストされているドキュメントを表示するように見える HTML 添付ファイルを使用し、偽のエラー メッセージが含まれていました。  

画像引用：Proofpoint 

修正方法をクリック

「修正方法」ボタンをクリックすると、PowerShell スクリプトがクリップボードにコピーされ、その実行方法がユーザーに指示されました。この攻撃チェーンは最終的に「DarkGate」マルウェアのインストールにつながりました。   

TA571 は、PowerShell クリップボード技術を使用しながら、フィッシングと攻撃手法を変更・更新し続けています。

改良し続けるフィッシング内容

2024 年 5 月 28 日、Proofpoint は、異なるエラー メッセージを使用する HTML 添付ファイルを使用する TA571 キャンペーンを特定しました。

画像引用：Proofpoint 

注目すべきは、このキャンペーンには、被害者が「ルート証明書をインストールする」ために「修正」ボタンをクリックするようにという指示が含まれていたことです。これは、ClearFake のエラー メッセージで使用される言語です。

このキャンペーンでは、TA571 は被害者に、PowerShell ターミナルではなく [実行] ダイアログ ボックスを使用して悪意のあるスクリプトを実行するように求めました。

TA571 キャンペーンには、異なる PowerShell スクリプトを実行する少なくとも 2 つの異なるコマンド ラインが含まれていました。1 つは、別の PowerShell スクリプトを実行するダウンロードされた HTA ファイルを介して DarkGate につながり、もう 1 つは、ダウンロードされた ZIP ファイルを介して NetSupport RAT につながります。 

ほとんどのキャンペーンでは、TA571 は HTML ファイルにさまざまなランダムなコンテンツを埋め込んで、添付ファイルに半一意のハッシュを作成しました。

クリップボードを利用したサイバー攻撃はEDRは検査できない

紹介されているいずれの場合も、偽のアップデートや HTML 添付ファイルを介して、悪意のある PowerShell/CMD スクリプトは正当なサイトでも一般的に使用されているブラウザ側の JavaScript を介してクリップボードにコピーされます。

悪意のあるコンテンツは、HTML/Web サイトのさまざまな場所に含まれており、さまざまな要素や関数でダブル Base64、リバース Base64、さらにはクリア テキストなど、さまざまな方法でエンコードされています。

正当な使用、悪意のあるコードを保存するさまざまな方法、および被害者がファイルに直接関連付けることなく悪意のあるコードを手動で実行するという事実によりこれらのタイプの脅威の検出は困難です。

ウイルス対策ソフトウェアと EDR はクリップボードのコンテンツを検査する際に問題が発生するため、悪意のある HTML/サイトが被害者に表示される前に検出とブロックを行う必要があります。

引用：Proofpoint 　From Clipboard to Compromise: A PowerShell Self-Pwn