デジタルアーツ、偽アップデートページを表示することでマルウェアをダウンロードさせる「ClearFake」の攻撃を分析したレポートを公開
- 2023/11/29 10:30
- SecurityInsight
デジタルアーツは11月28日、偽アップデートページを表示することでマルウェアをダウンロードさせる「ClearFake」の攻撃を分析したレポートを公開した。その概要は以下のとおり。
2023年8月ごろから確認されている「ClearFake」は、配信経路にブロックチェーンを悪用し始めた。「SocGholish」ほど解析回避の手法は取り入れていない一方で、テイクダウンを避ける、複数の主要ブラウザーや多言語に対応するなどの特徴がある。「ClearFake」はターゲットを絞るのではなく、無差別的にマルウェアを配信しているといえる。
「ClearFake」は正規のサイトを改ざんし、あらかじめ挿入されたJavaScriptを起点として偽アップデートページを表示し、最終的にマルウェアのダウンロード・感染へと至る。
まず、改ざんサイトにアクセスが確認されると、インターネットを介してブロックチェーンに接続し、特定のスマートコントラクトにアクセスする。そして、悪意のあるJavaScriptコードを取得する際に、BSC(BNB Smart Chain)という「ブロックチェーン」を悪用していた。
この後、ブロックチェーン上に展開された悪意のあるJavaScriptがブラウザーで実行されると、新たなURLにアクセスを行い、利用しているブラウザーと利用言語に応じた偽アップデートページが表示される。また、偽アップデートページの表示をする際はインラインフレームで元のページ全体を覆い隠している。そのため、改ざんサイトからリダイレクトせず、アドレスバーもそのままのURLが表示される。
最後に、偽アップデートページのダウンロードボタンをクリックすると、リダイレクトし、オンラインストレージ「Dropbox」のURLからマルウェアがダウンロードされた。また、調査時にダウンロードされたexeファイルは「Lumma Stealer」という情報窃取型のマルウェアであることも確認できた。ファイルを実行することでマルウェアに感染し、端末情報が盗まれる危険性がある。
「ClearFake」は解析されたとしてもテイクダウンされない経路がある。さらに、偽装種類が多いということは、誘導される絶対数もそれらに比例するため、結果的に偽アップデートの被害が多発することが予想できる。また、「ClearFake」はじび調査を分析している短期間においても、JavaScriptの記述方法を頻繁に更新するなどの動きが確認されているため、今後も変わった手法を用いてくる可能性が考えられる。