先日「ClickFix」というPC乗っ取り攻撃についてブログを更新いたしました。
ClickFixの詳細は こちら をご覧ください。
今回はClickFixをカスタマイズした亜種「FileFix」の登場についてです。
FileFixの特長
基本的な悪意の考え方は「ClickFix」と同じです。ユーザーに悪意のある命令をコマンドプロンプトから実行させます。
ただし、ClickFixと違うのはウェブページで「私はロボットではありません」という偽画面で誘導するのではなく、もっともらしい他の理由で誘導するところです。
誘導方法の例としては、
- サブスクが無料になる裏ワザ(ケチな経営者がクリックしそう)
- PCのトラブルを無料で解決する(なんでもタダで解決しようという企業体質のところがクリックしそう)
「タダで得するかも」「タダで何とかなるかも」と感じる部分から誘導します。
特に「サブスクが無料になる裏ワザ」というのは、引っかかりやすい誘導だと思います。また、このタイトルと同じ意味合いのYoutube動画やTiktokもチラホラ見ますので、その中に紛れ込んでいたら騙されてしまう人、それなりにいると思います。
FileFixに引っかかる手順
順に見ていきます。
- 「サブスクが無料になる裏ワザ」などで興味をひく
- 動画なりウェブページなりへ誘導
- もっともらしい情報を与えておいて、別の詐欺サイトへ誘導
- 詐欺サイトの中にある「ボタン」をもっともらしい理由でクリックさせる
- クリックすると悪意のあるコードがクリップボードへコピーされる(クリックした人はわからない)
- エクスプローラーを開かせる
- キーボードから「Ctrl」+「L」キー、または「Alt」+「D」キーを押させる
- キーを押すとエクスプローラーの「アドレスバー」にフォーカスが移動する
- 「Ctrl」+「V」キーを押させる
- 「5」でクリップボードへコピーされた悪意のあるコードが、エクスプローラーのアドレスバーへ貼り付けられる
- 「Enter」キーを押させる
「Enter」キーを押すと、、、悪意のあるコードがコマンドプロンプトから実行されるのと同じように動き出します。で、感染完了。
ポイントはココです!
エクスプローラーのアドレスバーに命令コードを書いて「Enter」キーを押すと、「Windows」+「R」キーで命令コード書いて実行するのと同じことができるのです。
ClickFixが一般化したことで、一部企業(海外が多いようですが)では、会社で使うWindowsパソコンは「Windows」+「R」キーをブロックするようになったため、別の方法で何とかしようと考えた結果のようです。
良くないことをやっていることは間違いありませんが、この方法(誰でも出来て怪しまれにくい方法)を考えた(思いついた)のはクリエイティブです。
さいごに
エクスプローラーに目を付けたのかなりすごいです。だってエクスプローラーをWindowsパソコンで「使用不能」にすることは無理だからです。
仮に使用不能にすると、、、Windowsそのものが動きません。ほぼ、OSと一体化してますので。
こういう手法、これからも増えていきます。亜種の登場も増えるでしょう。経営者からスタッフまで全員のセキュリティ意識を高めることが重要ですし、小まめな情報収集で対応することが必要になっています。