サイバーセキュリティ研究者は、レガシーなWindowsプロトコル、特にfinger.exeコマンドの悪用が再燃し、ソーシャルエンジニアリング攻撃を助長していることを確認しました。
2025年11月以降、脅威アクターはこの数十年前のユーティリティを「ClickFix」マルウェア配布キャンペーンに組み込んでいます。
12月中旬に実施された最近の調査により、KongTukeとSmartApeSGという2つの主要キャンペーンが、この手法を積極的に活用してセキュリティ制御を回避し、偽のCAPTCHAページからユーザーをだまして悪意のあるコードを直接実行させていることが確認されました。
ClickFixのソーシャルエンジニアリング手法は通常、Webブラウザ内に偽のエラーメッセージやCAPTCHAチャレンジを表示します。
これらのプロンプトは、疑いを持たないユーザーに対し、問題を「修正」するために特定のスクリプトをWindowsの「ファイル名を指定して実行」ダイアログやPowerShellターミナルへコピー&ペーストするよう指示します。
以前の亜種は直接PowerShellスクリプトに依存していましたが、2025年12月11日に観測された最新の進化ではfinger.exeコマンドが利用されています。
このツールは当初、リモートネットワークからユーザー情報を取得する目的で設計されており、TCPポート79で通信します。
正規のシステムバイナリを用いる「Living off the Land」(LotL)と呼ばれる手法により、攻撃者は既知の悪意ある実行ファイルを監視する標準的な検知メカニズムを回避できる場合が少なくありません。
BleepingComputerおよびセキュリティ研究者Didier Stevensの報告が、11月中旬にこの傾向を最初に取り上げました。しかし、新たなテレメトリによれば、この手口は継続しているだけでなく、特定の脅威グループにとって標準的なオペレーションになっていることが示されています。
12月11日時点で、KongTukeとSmartApeSGの両方が、Fingerプロトコルのみに依存してペイロードを取得する更新済みの感染チェーンを展開していることが観測されました。
KongTukeとSmartApeSGの感染
KongTukeキャンペーンの分析により、欺瞞的なCAPTCHAページに起因する明確な攻撃フローが明らかになりました。
ユーザーはgcaptcha@captchaver[.]topを対象とするコマンドを実行するよう促されます。TCPポート79に対するWiresharkフィルタを用いたネットワークトラフィック分析では、このコマンドが攻撃者のサーバーへの接続を確立することが示されました。
サーバーの応答にはユーザー情報は含まれず、代わりにBase64エンコードされたテキストを含む悪意のあるPowerShellコマンドが配信されます。
この難読化されたペイロードはその後、被害者のマシン上で実行され、直接のファイルダウンロードをブロックする可能性のある境界防御を効果的に回避します。
同時に、SmartApeSGキャンペーンも、類似しつつもわずかに異なるインフラを利用していることが観測されました。このケースでは、強要されるコマンドは[email protected][.]108を対象としています。
緩和策
finger.exeへの継続的な依存は、多くの組織が依然としてTCPポート79のアウトバウンド通信を許可していることを示唆しています。このポートは、現代の企業環境では正当な用途がほとんどありません。
セキュリティチームには、このポートへのアウトバウンド接続をブロックし、特にシェルコマンドやブラウザから起動された場合に、予期しないfinger.exeの実行がないかプロセス実行ログを監視することが推奨されます。
このリクエストに対する応答トラフィックはKongTukeとは異なり、直接のエンコード済みコマンドではなく、二次ペイロードを取得するよう設計されたスクリプトがサーバーから返されます。
このスクリプトはpmidpils[.]com/yhb.jpgからコンテンツを取得し、その後ホストシステムに保存して実行します。
この多段階の配信により、攻撃者は最終的なマルウェアペイロードを無害な画像に見えるファイルの中に隠すことができ、検知をさらに困難にします。
翻訳元: https://gbhackers.com/clickfix-attack-5/
