偽の Windows Update 画面が Windows ユーザーをだましてマルウェアをインストールさせている
<本文>![]()
概要
-
全画面表示の偽の Windows Update またはキャプチャは、ユーザーを騙して攻撃者のコマンドを貼り付けて実行させます。
-
マルウェアはステガノグラフィー的に PNG ピクセルに保存されます。 a.NET Stego Loader は、それをメモリ内で抽出、復号化して実行します。
-
クリップボードのトリックにより、被害者はコマンドを貼り付けることができます。ローダーはイメージをダウンロードし、10,000 個の空の関数を実行して分析を回避します。
ソーシャル エンジニアリング攻撃は、実際にコンピューターに感染したり、誰かのデータを盗んだりするために、おそらく今でも最もよく使用されている方法の 1 つです。ソーシャル エンジニアリング攻撃が巧妙に実行されると、かなり厄介な結果が生じる可能性があります。これには、事態を丸めるために偽の Windows Update 画面も含まれています。
サイバーセキュリティ研究者は、「ClickFix」ソーシャル エンジニアリング攻撃の高度な進化を発見しました。攻撃者は、リアルな偽の Windows Update アニメーションと高度なソーシャル エンジニアリング技術を組み合わせてシステムを侵害しています。 ClickFix 攻撃が何なのかわからない方のために説明しておくと、その目的は、セキュリティ ソフトウェアが自動的に実行する場合は通常ブロックされるアクションをユーザーをだまして実行させることです。
これらの新しい亜種では、被害者は Windows の重要なセキュリティ アップデートや「人間による検証」キャプチャを模倣した全画面ブラウザ ページに遭遇します。このページでは、エラーを解決するか身元を確認するために特定のキーのシーケンスを押すようにユーザーに指示します。ユーザーが気づかないうちに、悪意のあるサイトで実行されている JavaScript によって、悪意のあるコマンドがクリップボードにすでにコピーされています。ユーザーがキーを押す指示 (多くの場合、Windows の ファイル名を指定して実行 ボックスまたはコマンド プロンプトへの貼り付けを含む) に従うと、誤って攻撃者のコードを実行してしまいます。
実はかなり賢くて、だからこそ怖いのです。この特定のキャンペーンを特徴づけているのは、マルウェア ペイロードを隠すためにステガノグラフィーが使用されていることです。攻撃者は、認識可能な悪意のあるファイルをダウンロードするのではなく、PNG 画像のピクセル データ内にコードを隠します。ハントレスの研究者らは、悪意のあるコードは画像の特定のカラー チャネル内に直接エンコードされていると説明しました。カジュアルな観察者や基本的なセキュリティ スキャンにとって、ファイルは無害なイメージに見えます。ただし、攻撃チェーンには、「Stego Loader」として知られる .NET アセンブリが含まれています。このローダーは、画像を解析し、ピクセルから暗号化されたペイロードを抽出し、メモリ内で復号化する役割を果たします。
この仕組みは、Windows Update の停止や「本人確認」チェックなど、偽の全画面エラーを表示する Web サイトにアクセスすることによって行われます。サイト上のバックグラウンド スクリプトは、悪意のあるコードをコンピュータのクリップボードに密かにコピーします。画面では、Windows の「ファイル名を指定して実行」プロンプトを開き、問題を「修正」するためのテキストを貼り付けるように指示されます。「Enter」を押すと、コマンドによって一見無害なイメージ ファイルがダウンロードされます。このファイルには実際にはマルウェアが含まれており、その後 Stego Loader によって復号化されます。エントリ ポイント関数は、実際のペイロードを実行する前に、10,000 個の空の関数の呼び出しを開始して、分析ツールを使い果たしたり混乱させたりします。
あなたや私はおそらくこの被害者ではないでしょう。しかし、オンラインで間違ったリンクをクリックして、これにだまされる可能性のある高齢者のことを考えてみましょう。起こるのを待っている災害。これを防ぐには、おじいちゃんの PC の ファイル名を指定して実行 ボックスを無効にすることができますが、他にできることはあまりありません。
出典: ブリーピングコンピュータ
*️⃣ 出典リンク: