2023年11月28日
デジタルアーツ株式会社
【セキュリティレポート】ブロックチェーンを悪用する「ClearFake」
テイクダウンを避けるほか、ブラックリストで排除されない仕組みで安定した配信経路を確保
情報セキュリティメーカーのデジタルアーツ株式会社(本社:東京都千代田区、代表取締役社長:道具 登志夫、以下 デジタルアーツ、証券コード2326)は、偽アップデートページを表示することでマルウェアをダウンロードさせる「ClearFake」の攻撃を分析したレポートを公開しました。
「SocGholish」に続き、「ClearFake」の攻撃手法に注目
偽アップデート(Fake Update)は、偽のアップデートページを表示してアクセスしたユーザーを騙しマルウェアをダウンロードさせる(実行させる)という攻撃です。デジタルアーツでは直近で、偽アップデートの代表的なマルウェア配信フレームワークである「SocGholish(FAKEUPDATES)」の調査結果を報告しましたが、2023年には、その他にも多くの攻撃タイプが発見・報告されています。
なかでも2023年8月ころから確認されている「ClearFake」 は、配信経路にブロックチェーンを悪用し始めました。「SocGholish」ほど解析回避の手法は取り入れていない一方で、テイクダウン避ける、複数の主要ブラウザーや多言語に対応するなどの特徴があります。「ClearFake」 はターゲットを絞るのではなく、無差別的にマルウェアを配信しているといえます。この度デジタルアーツは、「ClearFake」の攻撃を独自に分析しました。
ブロックチェーンの特性を悪用し、削除が困難なJavaScriptを展開する「ClearFake」
今回の調査において、「ClearFake」は正規のサイトを改ざんし(以下、「改ざんサイト」と記載)、あらかじめ挿入された JavaScript を起点として偽アップデートページを表示し、最終的にマルウェアのダウンロード・感染へと至ることがわかりました。