新たなClickFix攻撃の波が、偽のWindowsアップデート画面を使って被害者を騙し、情報窃取型マルウェアをダウンロードさせています。
ClickFixは、ユーザー自身に悪意のあるコマンドを実行させるソーシャルエンジニアリング手法の一種で、偽の修正プログラムや「私はロボットではありません」プロンプトなどを利用します。こうした攻撃は過去1年で急増しており、政府支援のスパイやサイバー犯罪集団がこの手法を使ってマルウェアを配布しています。
マイクロソフトによると、ClickFixは現在、攻撃者による最も一般的な初期侵入手法となっています。
Huntressのセキュリティアナリスト、Ben Folland氏とAnna Pham氏によれば、最近のClickFix攻撃はロボットチェックの誘導から離れ、「非常に説得力のある」偽のWindowsアップデート画面を利用するようになっています。
さらに新たな手口として、攻撃者はステガノグラフィックローダーを使い、Rhadamanthysを含む情報窃取型マルウェアを配布しています。これは悪意のあるコードをPNG画像のピクセルデータに直接埋め込み、特定のカラーチャンネルを使ってメモリ上でマルウェアを復元・復号するものです。この手法により、悪意のあるペイロードはシグネチャベースの検知を回避しやすくなります。
10月初旬以降、Huntressの脅威ハンターはWindows UpdateをClickFixの誘導に使う活動クラスターをいくつか確認しています。そのうちの一つはIPアドレス141.98.80[.]175が関与していたため、防御側はこのアドレスからの通信に注意を払うべきです。
これらのキャンペーンは、被害者が悪意のあるウェブサイトにアクセスし、ブラウザがフルスクリーンモードに切り替わり、このような青いWindowsアップデート画面が表示されることから始まります。
ユーザーがこの詐欺に騙されると、「重要なセキュリティアップデート」をインストールするよう促され、典型的なClickFixの手口である「ファイル名を指定して実行(Win+R)」を開き、悪意のあるコマンドを貼り付けて実行するよう指示されます。
コマンドを実行すると、多段階の実行チェーンが開始されます。最初はmshta.exeコマンドが実行され、IPアドレスを含むURLが指定されますが、2番目のオクテットは常に16進数でエンコードされています。これにより、.NETアセンブリを含むPowerShellコードが実行され、動的に復号・リフレクティブロードされます。そしてさらに別の.NETペイロード、つまりPNG画像のピクセルデータ内に隠されたDonutパックのシェルコードを抽出するステガノグラフィックローダーが展開されます。
これら両方のWindows Update ClickFix誘導は、最終的に被害者のマシンにRhadamanthys情報窃取型マルウェアをロードします。この悪意のあるコードがログイン認証情報を盗み出します。
Huntressはこれらのキャンペーンの背後にいる人物を特定できていませんが、Windows Update誘導サイトのソースコードにはロシア語のコメントが含まれていると指摘しています。
さらに、研究者らは11月13日に発表されたRhadamanthysインフラを標的としたOperation Endgameの法執行による摘発の前後で分析を行いました。
「11月19日現在、複数のアクティブなドメインがRhadamanthysキャンペーンに関連するWindows Update誘導ページを引き続きホストしています」とHuntressの2人は記しています。「これらすべての誘導は、以前Rhadamanthysの展開に関連付けられていた同じ16進数エンコードのURL構造を指していますが、このペイロードはもはやホストされていないようです。」
組織は、Windowsの「ファイル名を指定して実行」ボックスをブロックし、従業員にClickFix手法の仕組みを教育することでClickFix攻撃から防御できます。実際のCAPTCHAやWindows Updateが、ユーザーにコマンドの貼り付けや実行を求めることは決してありません。
さらに、エンドポイント検知・対応ツールを使い、explorer.exeからmshta.exe、powershell.exe、または予期しないコマンドラインを持つ他のバイナリが起動されていないか監視しましょう。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/24/clickfix_attack_infostealers_images/
