偽の「Windows Update」画面からマルウェア感染させる手口「JackFix」が流行中

表示される偽のWindows Update画面(出典:Acronis)

　ソフトウェア開発大手のAcronisは11月24日、画面を乗っ取って偽のWindows Update画面を表示し、マルウェアに感染させる攻撃手法が流行していると報告した。

　この攻撃は、偽のアダルトサイトを中心に展開されている、「JackFix」と呼ばれるもの。ユーザーがサイトをクリックすると、ブラウザが全画面表示になり、偽のWindows Update画面が表示される。画面には進捗状況のアニメーションなどが表示され、ユーザーに対し所定のコマンドを実行するよう指示する文面が現れる。

　指示通りにコマンドを実行すると、PowerShellスクリプトが動作し、UAC(ユーザーアカウント制御)のポップアップが表示される。ここで実行を許可してしまうと、ツールがセキュリティソフトの機能を停止させた上で、更なるマルウェアのダウンロードを開始する。

　この攻撃は、偽の画面などを利用してユーザー自身にマルウェアをインストールさせる手法「ClickFix」の新しい形態と見られており、以前はセキュリティ警告などの画面を偽装する形を取っていた。マルウェアに感染したPCからは、パスワードや暗号資産情報が盗まれるリスクがあるという。

　Acronisは対策として、不審な指示によるコマンド実行の回避や、組織内でのPowerShell実行制限などのほか、EscキーやF11キーなど、ブラウザの全画面表示を解除するショートカットキーを押すことを挙げている。偽のWindows Update画面表示中には多くのショートカットキーなどが無効化されているが、同社がテストした環境ではEscキーとF11キーについては継続して使用できることが確認されたという。