- 偽のWindowsアップデートが暗号化されたPNG画像内に隠された高度なマルウェアを配布
- ハッカーはアップデート画面で被害者を騙し、密かに悪意あるコマンドを実行
- Stego LoaderはC#ルーチンを使い、危険なペイロードをすべてメモリ上で再構築
ハッカーはソーシャルエンジニアリング手法を使い、偽のWindowsアップデート画面で複雑なマルウェアを配布するケースが増えています。
ClickFix攻撃は、正規のアップデートプロンプトを模した全画面のウェブブラウザページでユーザーにコマンドを実行させるよう仕向けていると、Huntressの研究者Ben Folland氏とAnna Pham氏が明らかにしました。
専門家らは報告しており、攻撃者が被害者に特定のキーを押すよう指示し、それによって悪意あるコマンドがWindowsの「ファイル名を指定して実行」ボックスに自動的に貼り付けられる場合があると述べています。
ステガノグラフィと多段階ペイロード
これらのコマンドはマルウェアの実行を引き起こし、標準的なシステム保護を回避して個人および企業システムの両方に影響を及ぼします。
マルウェアのペイロードはステガノグラフィを用いてPNG画像内に隠され、AESで暗号化され、Stego Loaderと呼ばれる.NETアセンブリによって再構築されます。
このローダーはカスタムC#ルーチンでシェルコードを抽出し、Donutツールで再パッケージ化することで、VBScript、JScript、EXE、DLLファイル、.NETアセンブリをすべてメモリ上で実行できるようにします。
アナリストは、最終的に得られるマルウェアがLummaC2やRhadamanthysの亜種であることを特定しました。
これらの攻撃でステガノグラフィが使われていることは、マルウェア配布が従来の実行ファイルを超えて進化していることを示しており、脅威検知やインシデント対応チームに新たな課題をもたらしています。
攻撃者はまた、ctrampolineのような動的回避手法も実装しており、数千の空の関数を呼び出して解析を困難にしています。
偽のWindowsアップデートを使った亜種の1つは2025年10月に検出され、11月には法執行機関がOperation Endgameを通じてそのインフラの一部を撹乱しました。
これにより、悪意あるドメイン経由で最終ペイロードが配布されるのを防ぎましたが、偽のアップデートページ自体は依然として稼働中です。
攻撃は進化を続けており、人間による確認プロンプトやアップデートアニメーションを切り替えながら、ユーザーにコマンドを実行させる手口を取っています。
研究者は、explorer.exeからmshta.exeやPowerShellが生成されるなど、不審なプロセスチェーンの監視を推奨しています。
調査担当者は、RunMRUレジストリキーを確認して実行されたコマンドを調べることもできます。
組織はマルウェア除去の実践とウイルス対策 スキャン、ファイアウォール保護を組み合わせてリスクを最小限に抑えることが推奨されています。
可能であればWindowsの「ファイル名を指定して実行」ボックスを無効化し、画像ベースのペイロードを慎重に検査することも追加の予防策として推奨されます。
企業は、画像やスクリプトなど一見正規のアセットが悪用されるリスクも考慮しなければならず、これがログ取得、監視、フォレンジック分析を複雑にしています。
また、サプライチェーンのセキュリティや、攻撃者が信頼されたアップデート機構を侵入口として悪用する可能性についても懸念が高まっています。
