✅ レポートタイトル：AIとLLMを活用した脅威事例研究 #06：マルバタイジング(Malvertising) & クリックフィックス(ClickFix)

✅ レポートの要約：

- AIツールが職場環境全体に急速に普及するにつれ、脅威アクターはユーザーがAIツールを検索・インストールするプロセスを悪用したソーシャルエンジニアリング攻撃を行っています。

- この攻撃では、Claude Code のインストールページとまったく同じ偽サイトを作成し、その上位に Google 広告を表示させています。ユーザーに特定のコマンドをコピーさせ、そのコマンドをターミナルで実行するよう誘導する手口です。

- この攻撃ではマルバタイジング(Malvertising)を利用して偽サイトを検索エンジンの上位に表示させ、ユーザー自身がコマンドをコピーして実行するよう誘導するクリックフィックス(ClickFix)手法が使用されました。

- 脅威アクターはClaude Codeのインストールページに偽装した詐称Webサイトを作成し、Google広告を通じて被害者を誘導しました。

- 被害者は正規のインストール手順と誤認してWebページのコマンドを直接実行し、その過程でマルウェアに感染します。

- Windowsマルウェアは、mp3ファイルに偽装したHTAファイルを通じて実行されます。

- ブラウザ情報を窃取した後、C2からの命令に従って追加のペイロードをダウンロード・実行することができます。

- macOSマルウェアはbashスクリプトを実行させ、AppleScriptを使って悪意のある動作を行います。

- ブラウザ情報、メッセンジャーデータ、クラウドや開発環境の認証情報、ユーザー文書、暗号資産ウォレット情報を収集し、圧縮してC2に送信します。

- 一部の正規の暗号資産ウォレットアプリが、脅威アクターの制作したアプリに置き換えられる機能も確認されました。

- 偽サイトへのアクセス遮断、不審なコマンドの実行制御、C2通信のモニタリングを中心に対応する必要があります。

- 信頼できないWebページから提供されるmshta、powershell、curl、shコマンドの実行を制限する必要があります。

- PowerShellの実行、AMSIバイパス、LaunchDaemonへの登録、隠しディレクトリの作成、C2通信の有無をモニタリングする必要があります。

- 感染が確認された場合は、システムで使用している主要な認証情報を再発行する必要があります。

🧑‍💻 レポート作成者: S2W 『TALON』

👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。