Amazon偽装アラート悪用、ClickFix経由でHarborWatch RAT配布

Amazon偽装アラート悪用、ClickFix経由でHarborWatch RAT配布

最近の調査で、攻撃者がAmazonを装ったメールを利用し、「ClickFix」マルウェアを配布していることが確認された。本キャンペーンでは、カスタマイズされたリモートアクセス型トロイの木馬（RAT）である「HarborWatch Agent」の展開も確認されている。

分析によると、攻撃者はAmazon関連の通知を装ったメールを送信し、受信者を指定のページやコンテンツへ誘導していた。配布活動では、知名度の高いブランドを利用したソーシャルエンジニアリング手法が採用されている。

攻撃は「セキュリティ警告：ログイン活動異常通知」といった件名のメールから始まる。メール本文では、アカウントに不審な活動が確認されたとして利用者へ対応を求める内容が記載されていた。

また、送信元には「no-reply@security.amazonassist.xyz」のようなアドレスが利用されており、正規サービスを装った配布手法が確認されている。

偽CAPTCHAページからHarborWatch RATを展開

メール内のリンクをクリックすると、利用者は「amazonattention.com」へリダイレクトされ、CAPTCHA認証画面を装ったページへ誘導される。分析によると、このページでは利用者に特定のコマンドを実行させる手法が用いられていた。

実行されたコマンドはPowerShellを利用して追加ファイルを取得し、後続ペイロードを展開する構成となっている。研究者らは、この手法がClickFixキャンペーンで確認されている実行フローと共通していると報告している。

その後、ダウンロードされた「mysql.exe」プロセスは 185.193.127.44 との通信を開始し、関連するコマンド＆コントロール（C2）インフラとの接続が確認された。調査では、このマルウェアが「HarborWatchAgent/c-1.1.1」として識別されている。

また、HarborWatch Agentにはシステム情報収集機能やリモートコマンド実行機能が実装されていることが確認された。さらに、C2インフラの管理画面を分析した結果、中国語の管理パネルが含まれていたことも報告されている。

今回の事例では、Amazonを装ったメール、ClickFix手法、PowerShellによるペイロード展開、HarborWatch Agentによる遠隔操作機能が組み合わされた攻撃チェーンが確認されている。