コンテンツにスキップするには Enter キーを押してください

FileFix攻撃がWindowsファイルエクスプローラーを利用してステルスコマンドを実行

投稿日 2025年6月25日

FileFix攻撃がWindowsファイルエクスプローラーを利用してステルスなPowerShellコマンドを実行

サイバーセキュリティ研究者が、Windowsのファイルエクスプローラーのアドレスバーを通じてユーザーに悪意のあるコマンドを実行させるClickFixソーシャルエンジニアリング攻撃の変種であるFileFixを開発しました。

FileFixは、ClickFixと呼ばれるソーシャルエンジニアリング攻撃の変種で、脅威アクターがWindowsのファイルエクスプローラーのアドレスバーを通じて被害者のシステムでコマンドを実行できるようにします。

サイバーセキュリティ研究者のmr.d0xがこの新しい手法を発見し、簡単なソーシャルエンジニアリング技術を使用して企業の従業員をターゲットにした攻撃で使用できることを実証しました。

ClickFix攻撃はブラウザベースで、ユーザーを騙してウェブサイト上のボタンをクリックさせ、Windowsクリップボードにコマンドをコピーさせます。ユーザーはその後、PowerShellや他のコマンドプロンプトにコマンドを貼り付けて問題を修正するよう指示されます。

これらのタイプの攻撃は、通常、キャプチャやエラーを装い、ユーザーが問題を「修正」しない限りサイトを使用できないようにします。

FileFixの分岐

ClickFix攻撃では、ユーザーがウェブサイトのボタンをクリックすると、悪意のあるPowerShellコマンドが自動的にWindowsクリップボードにコピーされ、その後、Runダイアログ(Win+R)を通じてコマンドプロンプトに貼り付けるよう指示されます。

mr.d0xは、ターゲットがWindowsファイルエクスプローラーのより親しみやすいユーザーインターフェースにコマンドを貼り付けることで、同じ目的を達成する方法を見つけました。

ファイルエクスプローラーはオペレーティングシステムのコマンドを実行できるため、研究者はブラウザのファイルアップロード機能と組み合わせて非常にもっともらしいシナリオを考案しました。

FileFix攻撃もフィッシングページに依存しますが、偽装はもはやエラーや問題として提示されません。代わりに、ファイルがユーザーと共有されたことを示す通知として表示され、ファイルエクスプローラーにパスを貼り付けてそれを見つけるように要求されるかもしれません。

「フィッシングページには「ファイルエクスプローラーを開く」ボタンが含まれており、クリックするとファイルアップロード機能を通じてファイルエクスプローラーが起動し、PowerShellコマンドがクリップボードにコピーされます」 – mr.d0x

しかし、欺瞞を維持するために、攻撃者はPowerShellコメント内にダミーファイルパスを連結して悪意のあるPowerShellコマンドを隠すことができます。

これにより、ファイルエクスプローラーのアドレスバーには最初に偽のパスのみが表示され、その前にある悪意のあるPowerShellコマンドが隠されます。

新しいClickFixのバリエーションを示すビデオでは、PowerShellコマンドの後にコメントとしてダミーファイルパスを配置することで、悪意のある文字列がユーザーに見えなくなり、ファイルエクスプローラーがそれを実行することが示されています。

攻撃にはファイルアップロードボタンが必要なため、研究者はFileFixメソッドを慎重に考慮し、ユーザーが誤ってコンピュータからファイルを選択しないようにしました。

フィッシングページの概念実証コードでは、mr.d0xがファイル選択イベントをインターセプトして入力をすぐにクリアすることでファイルアップロードアクションをブロックする数行を追加しました。

これが発生した場合、攻撃者はユーザーに指示に従わなかったことを知らせ、再試行するよう警告を表示することができます。

ClickFixキャンペーン

ClickFix攻撃は、ユーザーシステムにマルウェアを展開する非常に効率的な方法であることが証明されており、ランサムウェア攻撃国家支援グループによっても使用されています

北朝鮮の国家ハッカーグループ「Kimsuky」は、PDFファイルを使用してターゲットを偽のデバイス登録リンクに誘導し、管理者としてPowerShellを実行し、攻撃者が提供したコードを貼り付ける指示を示すキャンペーンにClickFix要素を含めました。

Microsoftが観察したClickFixキャンペーンでは、サイバー犯罪者がBooking.comを偽装してホスピタリティ業界の従業員に情報スティーラーやリモートアクセス型トロイの木馬を配信しました。

この攻撃手法はLinuxに適応されており、悪意のあるウェブサイトを訪れた後にシェルコマンドが自動的にクリップボードにコピーされます。潜在的な被害者はRunダイアログを開いてコマンドを実行するように誘導されます。

FileFixはバリエーションであるにもかかわらず、コマンド実行をユーザーにとってより親しみやすい環境に切り替えることで、フィッシング攻撃が改善できることを示しています。

mr.d0xは、FileFix攻撃がそのシンプルさとよく知られたWindowsユーティリティの使用により、脅威アクターによってすぐに採用されると考えているとBleepingComputerに語りました。

過去には、サイバー犯罪者が研究者のブラウザ内ブラウザフィッシング技術を迅速に使用し始め、悪意のあるアクターが新しい攻撃手法を学ぶことに常に関心を持っていることを示しています。


Tines Needle

なぜITチームは手動のパッチ管理をやめているのか

パッチ適用はかつて複雑なスクリプト、長時間の作業、無限の緊急対応を意味していましたが、今は違います。

この新しいガイドでは、Tinesが現代のIT組織が自動化でどのようにレベルアップしているかを解説します。パッチを迅速に適用し、オーバーヘッドを削減し、戦略的な作業に集中できます — 複雑なスクリプトは必要ありません。

翻訳元: https://www.bleepingcomputer.com/news/security/filefix-attack-weaponizes-windows-file-explorer-for-stealthy-powershell-commands/

Published in bleepingcomputer.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です