警告:GizmodoがClickFixマルウェアのCAPTCHAを配信中
Gizmodo/io9の一部ユーザーに対し、偽のCAPTCHAチェックを装った「ClickFix」マルウェアが配信されていることが確認された。この攻撃は、ユーザーに「Windows + R」キーの押下と不正なコードの実行を促すもので、クリップボードからペーストされた悪意あるPowerShellスクリプトを実行させようとする。現在、サイト運営側が調査・対応中。
背景メモ
- Gizmodo(特に姉妹サイトio9)が、悪意ある偽のCAPTCHA(「ClickFix」型マルウェア)を表示していると複数ユーザーが報告。これは訪問者に「人間確認」と称してキーボードショートカット(Win+Rなど)を実行させ、結果的に情報窃取型マルウェアをダウンロードさせる手口。
- ClickFixはここ数年急増しているソーシャルエンジニアリング手法。広告ネットワークやハッキングされたサイト経由で配信され、PowerShellやWindows Runダイアログを使わせる。
- Gizmodoは元老舗テックブログだが、現在はZiff Davis系のメディアグループ傘下。資産として売却され編集部縮小とSaaS運営に移行しており、今回の表示は同社の広告配信システムが不正なクリエイティブを通された可能性が高い。
- マルウェア配布に定評あるトラフィック誘導システム(TDS)や偽広告ネットワークが、同サイトの在庫を悪用した事例とみられる。