nslookupはClickFixで悪用されていますか？

A. はい、nslookupを使う亜種が確認されています。

攻撃者はClickFixの操作手順を記載したWebコンテンツを用意し、被害者をその画面に誘導します。表示内容は偽の広告ブロッカーやブラウザ拡張機能を装い、ブラウザの不具合を修正する名目でコマンド実行を促す流れです。

実行を求められる「fix」コマンドでは、Windows上でcmdを起動し、その中でnslookupが使われます。

一見すると特定IPアドレスの情報を問い合わせるだけの内容に見えます。しかし、返される文字列は本来のドメイン名ではなく、powershellを起動するためのコマンドです。その文字列が続けて実行され、外部サイトからZIPファイルが取得されます。展開されたPythonスクリプトは環境を確認し、ModeloRATを起動する仕組みを設置します。さらにスタートアップフォルダに設定が追加され、継続的に動作する状態になります。

このような手法はソフトウェアの脆弱性を利用するものではないため、対策が難しい側面もあると言えます。

👉 詳細のブログはこちら