2025年初頭、私は犯罪者が偽のCAPTCHAサイトとクリップボードハイジャッカーを使い、ウェブサイトの訪問者に自らのマシンをLumma Stealerという情報窃取型マルウェアに感染させる手順を案内していた手口を解説しました。
ClickFixは、このようなキャンペーンに研究者が付けた名前です。クリップボードと偽CAPTCHAサイトを利用し、ユーザー自身に悪意あるコマンドを実行させる手法です。
その後、私たちは発見しました。この攻撃の背後にいるサイバー犯罪者たちは、ClickFixと、マルウェアを有用なアプリケーションに偽装してダウンロードさせる従来型の手法のどちらが効果的か、A/Bテストを行っているようでした。
犯罪者たちはおそらくClickFixを選択したのでしょう。その後すぐに、Macユーザーを標的とし、悪名高いAtomic Stealerを拡散するキャンペーンを開始しました。
そして今、Push Securityの研究者によると、ClickFixの攻撃者たちはキャンペーンをより「ユーザーフレンドリー」にしようとしています。最新の偽CAPTCHAページには、悪意あるコードの実行方法を正確に示す埋め込み型の動画チュートリアルが含まれています。
サイトは自動的に訪問者のオペレーティングシステムを検出し、それに合った手順を表示します。該当するOS用のコードがクリップボードに自動でコピーされるため、タイプミスが減り、感染の確実性が高まります。
カウントダウンタイマーが緊迫感を与え、ユーザーに「チャレンジ」を1分以内に完了するよう圧力をかけます。人は焦ると考えずに行動しがちなので、ソーシャルエンジニアリングが成功しやすくなります。
予想通り、これらのページの多くはSEOポイズニングされたGoogle検索結果を通じて拡散していますが、メール、SNS、アプリ内広告でも流通しています。
安全を守るには
ClickFixが猛威を振るっており、すぐには収束しそうにありません。意識を高く持ち、慎重に行動し、しっかりと保護しましょう。
- 落ち着いて行動しましょう。ウェブページやポップアップの指示に急いで従わないでください。特に、デバイスでコマンドを実行したり、コードをコピー&ペーストするよう求められた場合は要注意です。攻撃者は緊急性を演出して冷静な判断を鈍らせようとします。即時の行動を促すページには警戒しましょう。高度なClickFixページはカウントダウンやユーザーカウンターなどのプレッシャー手法を使って急がせます。
- 信頼できないソースからのコマンドやスクリプトの実行は避けましょう。ウェブサイトやメール、メッセージからコピーしたコードやコマンドは、出所を信頼し、その内容を理解していない限り絶対に実行しないでください。指示内容は必ず独自に確認しましょう。ウェブサイトがコマンド実行や技術的な操作を求めてきた場合は、公式ドキュメントを確認するか、サポートに問い合わせてから進めてください。
- コマンドのコピー&ペースト利用を控えましょう。コマンドを手入力することで、コピーしたテキストに隠された悪意あるペイロードを知らずに実行してしまうリスクを減らせます。
- デバイスを保護しましょう。最新のリアルタイムアンチマルウェアソリューションとウェブ保護機能を利用してください。
- 進化する攻撃手法について学びましょう。攻撃は思いがけない経路からやってきたり、進化したりすることを理解しておくと警戒心を保てます。ぜひ当ブログも読み続けてください!
プロのヒント:無料のMalwarebytes Browser Guard拡張機能は、ウェブサイトがクリップボードに何かをコピーしようとした際に警告してくれるのをご存知ですか?
私たちは脅威を報告するだけでなく、駆除もします
サイバーセキュリティリスクは、ニュースの見出しだけで終わらせてはいけません。脅威をデバイスに侵入させないために、今すぐMalwarebytesをダウンロードしましょう。
