TechFlowの報道によると、1月15日、Scam Snifferがセキュリティ警告を発表し、偽のCloudflare認証ページを利用した新たなフィッシング攻撃を暴露した。攻撃者はkick[.]com[.]im/stripcoinと偽装したウェブサイトを使い、ユーザーにWindows + Rキーを押して「検証テキスト」と称する内容をペーストさせるよう誘導しているが、実際には悪意あるPowerShellコマンドを注入するものである。
攻撃の手順は以下の通り:
-
偽のCloudflare認証画面でユーザーの操作を誘導;
-
i.imghippo[.]comを悪意あるプログラムのホスティングに利用;
-
「OneDrive.exe」と偽装したマルウェアをダウンロード;
-
Windowsのスタートアップ項目を利用して永続的な感染を実現;
Scam Snifferはユーザーに対して以下の注意喚起を行っている:
-
正規のウェブサイトがユーザーにコマンドライン操作を要求することはない;
-
クリップボードに基づく認証要求には常に警戒を怠らないこと;
-
ウェブサイトの真正性を必ず確認すること;
-
不審な管理者権限の昇格に注意を払うこと;
-
Windowsの実行履歴が改ざんされていないか注意深く確認すること。




