【セキュリティレポート】ブロックチェーンを悪用する「ClearFake」 テイクダウンを避けるほか、ブラックリストで排除されない仕組みで安定した配信経路を確保
「SocGholish」に続き、「ClearFake」の攻撃手法に注目
偽アップデート(Fake Update)は、偽のアップデートページを表示してアクセスしたユーザーを騙しマルウェアをダウンロードさせる(実行させる)という攻撃です。デジタルアーツでは直近で、偽アップデートの代表的なマルウェア配信フレームワークである「SocGholish(FAKEUPDATES)」の調査結果※1を報告しましたが、2023年には、その他にも多くの攻撃タイプが発見・報告されています。
なかでも2023年8月ころから確認されている「ClearFake」 は、配信経路にブロックチェーンを悪用し始めました。「SocGholish」ほど解析回避の手法は取り入れていない一方で、テイクダウン避ける、複数の主要ブラウザーや多言語に対応するなどの特徴があります。「ClearFake」 はターゲットを絞るのではなく、無差別的にマルウェアを配信しているといえます。この度デジタルアーツは、「ClearFake」の攻撃を独自に分析しました。
ブロックチェーンの特性を悪用し、削除が困難なJavaScriptを展開する「ClearFake」
今回の調査において、「ClearFake」は正規のサイトを改ざんし(以下、「改ざんサイト」と記載)、あらかじめ挿入された JavaScript を起点として偽アップデートページを表示し、最終的にマルウェアのダウンロード・感染へと至ることがわかりました。
まず、改ざんサイトにアクセスが確認されると、インターネットを介してブロックチェーンに接続し、特定のスマートコントラクト※2にアクセスします。そして、悪意のあるJavaScriptコードを取得する際に、BSC※3(BNB Smart Chain)という「ブロックチェーン」を悪用していることが判明しました。
ブロックチェーンは、改ざん防止や永続性を保証するために設計されていることから、ブロックチェーン上に悪意のあるJavaScriptコードが展開されると、削除することはほぼ不可能であり、テイクダウンが難しくなります。加えて、本事例でアクセスする際に利用されていたURLは、一般的かつ正当な URLであったことから、これらはブラックリストではブロックされにくいものと考えられます。つまり攻撃者側には、安定した配信経路といえます。
この後、ブロックチェーン上に展開された悪意のあるJavaScriptがブラウザーで実行されると、新たなURLにアクセスを行い、利用しているブラウザーと利用言語に応じた偽アップデートページが表示されます。また、偽アップデートページの表示をする際はインラインフレームで元のページ全体を覆い隠しています。そのため、改ざんサイトからリダイレクトせず、アドレスバーもそのままのURL が表示されます。
最後に、偽アップデートページのダウンロードボタンをクリックすると、リダイレクトし、オンラインストレージ 「Dropbox」 の URL からマルウェアがダウンロードされました。また、調査時にダウンロードされた exe ファイルは、「Lumma Stealer」という情報窃取型のマルウェアであることも確認できました。ファイルを実行することでマルウェアに感染し、端末情報が盗まれる危険性があります。
※1 「SocGholish(FAKEUPDATES)」に関するセキュリティレポート https://www.daj.jp/security_reports/35/
※2 スマートコントラクト:ブロックチェーン上で自動的に動作するプログラムのようなもの
※3 BSC:BNB Smart Chainの略であり、ビットコインなどの仮想通貨取引で利用されるブロックチェーン
※あくまで今回ダウンロードされたファイルは調査時のものであり、環境や時期によって他のマルウェアが配信される可能性があります。
「ClearFake」は今後も新たな手法を用いる可能性あり
「ClearFake」は、解析されたとしてもテイクダウンされない経路があります。さらに偽装種類が多いということは誘導される絶対数もそれらに比例するため、結果的に偽アップデートの被害が多発することが予想できます。また、「ClearFake」 は本調査を分析している短期間においても、JavaScript の記述方法を頻繁に更新するなどの動きが確認されているため、今後も変わった手法を用いてくる可能性が考えられます。
「ClearFake」に限らず他の偽アップデートも出現しており、今後も Web 経由のマルウェア感染に警戒する必要があるでしょう。
●セキュリティレポートはこちら
以下、弊社コーポレートサイト上にて公開しております。
詳細はこちらからご覧ください。
https://www.daj.jp/security_reports/36/