ClickFixマルウェア、WorkFlowyユーザー標的　Defender回避手法も確認

ClickFix攻撃、WorkFlowy悪用でマルウェア配布　Defender回避手法も確認

Atosのセキュリティ研究者は、WorkFlowyアプリを悪用した新たなClickFix攻撃を確認した。この攻撃はThe Hacker Newsでも報じられており、フィッシングサイトを通じてユーザーを誘導し、コマンド実行を促す手口が用いられる。

攻撃は偽のCAPTCHAページから開始され、ユーザーに「Win + R」操作で特定のコマンドを入力させることで、外部サーバー上のネットワークドライブに接続させる。その後、ZIP形式の悪性ファイルがダウンロード・実行され、改ざんされたWorkFlowyアプリを通じてマルウェアが展開される。

このマルウェアは正規アプリの「.asar」ファイルに注入され、ユーザー権限で動作しながらデータをC2サーバーへ送信する。さらに、既存のバイナリやスクリプトエンジンを回避する手法により、Microsoft Defender for Endpointを含むセキュリティ製品の検知を回避する能力を備えるとされる。

今回の事例は、正規アプリとユーザー操作を悪用する攻撃手法の高度化を示すものであり、継続的な監視体制とユーザー教育の強化が不可欠であることを浮き彫りにしている。