新しいClickFixキャンペーンが偽のWindowsアップデートを利用

PixieMe / Shutterstock

セキュリティベンダーHuntressの研究者は、最近、企業の従業員を標的とした新たなClickFixキャンペーンを発見しました。調査報告によると、攻撃者はWindowsアップデートページを装った画像のピクセル内にマルウェアを隠していました。そこでは、ユーザーに「実行」をクリックして悪意のあるコマンドを挿入し、実行するよう促されます。

このコマンドは、インフォスティーラーのLummaC2とRhadamanthysを配布します。Huntressは、Rhadamanthysに対する捜査成功が発表された11月13日以降にこの報告書を公開したと指摘しています。それによると、11月19日時点でも複数のアクティブなドメインがRhadamanthysキャンペーンに関連する偽のWindowsアップデートページをホストしていました。「すべての偽ページは、以前Rhadamanthysの使用と関連付けられていた同じエンコードされたURL構造を参照しています」と研究者は述べています。ただし、ペイロードはすでにホストされていないようです。

ClickFix攻撃は目新しいものではない

専門家らは以前からClickFix攻撃（「Pastejacking」とも呼ばれる）について警告してきました。これらは多くの場合、被害者をリアルに見える偽のランディングページ（Windowsアップデートページや政府機関のサイトを装う）に誘導するフィッシングの餌から始まります。攻撃の核心は、ユーザーに「実行」ダイアログやWindows Terminal、PowerShellでコマンドをコピー＆ペーストして実行するよう指示する点にあります。これにより、マルウェアを起動するスクリプトがダウンロードされます。

HuntressのAna Pham氏はCSOに対し、ステガノグラフィ（画像などにデータを隠す手法）はマルウェア活動では新しいものではないと強調します。「特徴的なのはその実装方法です。単に画像ファイルに悪意のあるデータを付加するのではなく、このキャンペーンではPNG画像のRGBピクセル値に直接ペイロードを暗号化し、特定のカラーチャンネルを読み取ってシェルコードを抽出し、XOR復号を適用しています。」

これは、署名ベースの検出を回避するために設計された単純なファイル付加技術よりも手が込んでいます。

「Windowsアップデートを模した戦術は特に効果的です。なぜなら、ユーザーが期待するもの、つまりリアルなアニメーション付きのWindowsアップデートの全画面ページを模倣しているからです」と彼女は述べます。「この誘導ページのソースコードにはロシア語のコメントが含まれており、難読化も強くないため、他のグループが比較的簡単に共有・コピーできます。」

NCC Groupの研究者は最近、2025年5月に発見したClickFix攻撃に関するレポートを発表しました。具体的には、ドライブバイ型の侵害と偽のCAPTCHAポップアップの使用によって、Lumma C2 Stealerのインストールを狙うものです。

防御のためのヒント

HuntressのPham氏によれば、ClickFix攻撃への防御の第一歩はマルウェアの実行を阻止することです。「ClickFixを防ぐ最も効果的な方法は、Windowsの実行フィールドを無効化することです」とHuntressは述べています。「Windowsレジストリの変更やGPO（グループポリシーオブジェクト）ルールの適用によって、実行フィールドへの操作をブロックできます。」

さらに、すべてのソーシャルエンジニアリング攻撃への標準的な対策として、従業員へのセキュリティ意識向上トレーニングが推奨されます。「ユーザーがClickFixの手口を知っていることを確認してください」とレポートには記されています。「正規のCAPTCHAやWindowsアップデートプロセスでは、決してコマンドの貼り付けや実行を求めることはないと強調しましょう。」

また、CISOはRunMRUレジストリキー（実行ウィンドウで最近実行されたコマンドのコピーを保存する）を確認し、ユーザーが実行ダイアログで不審なコマンドを実行していないか調べるべきです。

Pham氏はさらに、エンドポイント監視による不審なプロセスチェーンの監視を推奨しています。特にexplorer.exeがmshta.exeやPowerShellを異常なコマンドライン引数で起動するケースに注意が必要です。

「セキュリティ意識向上トレーニングは重要ですが、それだけが唯一の防御策であってはなりません」とPham氏は述べています。（jm）