TokyoBlackHatNews

cyberpress.org 4分で読了

新しい「ClickFix」ペイロードがマルウェアをブラウザキャッシュに保存

サイバーセキュリティ研究者たちが、「ClickFix」という狡猾なツールを販売する新しい脅威アクターを発見しました。このペイロード配信方法は、マルウェアをブラウザのキャッシュフォルダに隠すことを謳っています。

検出ツールを回避し、エンドポイント検出・応答(EDR)システムを通り抜けます。地下フォーラムで販売されており、疑わしいダウンロードやウェブトラフィックからのアラームをトリガーせずにマシンを感染させる方法として宣伝されています。

販売者は、ClickFixが通常の危険信号をスキップすると主張しています。セキュリティソフトウェアが検出したい大規模なファイルダウンロードや奇妙なネットワーク呼び出しはありません。代わりに、ユーザーをブラウザの問題に対する偽の「修正」を実行するよう騙します。

クリックされると、ペイロードはブラウザキャッシュ内に自身を埋め込みます。ほとんどのアンチウイルススキャンが見落とす場所です。そこから、隠されたファイルエクスプローラーコマンドを使ってマルウェアを起動します。これにより、通常のブラウザメンテナンスのように見えるため、すべてが無害に見えます。

専門家は、これが増加傾向に適合していることを警告しています。攻撃者は一時的でユーザーが制御するブラウザストレージをますます標的にしています。キャッシュフォルダには画像やスクリプトなどのウェブデータが保存されていますが、プログラムファイルのようにロックされていません。

EDR ツールはスキャン中にそれらを無視することが多く、害のない残骸だと仮定しています。ClickFix はこのブラインドスポットを悪用し、レッドチーム演習や実際の攻撃に理想的です。

ClickFixはフィッシング餌で始まります。被害者はブラウザが高速更新を必要とすると主張するメールまたはリンクを受け取ります。「キャッシュエラーを修正するには ここをクリック」というラベルの付いたポップアップまたはショートカットが表示されます。

ユーザーがクリックすると、バックグラウンドでスクリプトが実行されます。正当そうなサイトから小さなエンコードされたペイロードをすばやく取得します。ネットワーク監視を回避するため、数キロバイト以上です。

次に魔法が起こります。スクリプトはペイロードをデコードし、ブラウザのキャッシュディレクトリに落とします。Windows 上の Chrome のユーザーデータ/デフォルト/キャッシュなど。ファイルの名前を「cache_001.dat」のようなサムネイルまたは一時ファイルに模倣するように変更します。

システムフォルダやレジストリへの書き込みはなく、マルウェアを叫ぶ変更もありません。実行するために、ClickFix は偽装されたファイルエクスプローラーのコマンドを作成します。「explorer.exe /root,CacheFolder:RunPayload」のようなもの。

これは通常のエクスプローラーアクティビティにブレンドされ、CrowdStrike や Microsoft Defender などのツールの動作ルールをバイパスします。

各ステップは数秒で完了し、メモリスキャンまたはプロセスツリーのレーダーの下にあります。研究者はサンプルをテストし、それが基本的なシグネチャを回避することを確認しました。ただし、高度な動作分析は、正しく調整されていれば、エクスプローラーの乱用をキャッチする可能性があります。

証拠として、Exploit.in や BreachForums などのサイトのフォーラム投稿を確認してください。広告は先週表示されました [ソース: Dark Web Monitor、2026 年 2 月]。デモビデオはアラートなしで仮想マシンに感染させています。

完全なパッケージはの暗号資産で $300 です。買い手はソースコード (JavaScript と PowerShell)、ビルダー GUI、セットアップガイド、および餌のテンプレートを取得します。

追加で $200 を支払うと、販売者は Google や Microsoft などの企業のブランディングに合わせてフィッシング ページをカスタマイズできます。配信は暗号化されたリンク経由で即座に行われ、「生涯更新」が約束されます。

これは単なるハイプではありません。2025 年の Magecart バリアントのような同様のキャッシュトリック駆動攻撃は、ブラウザストレージに skimmer を隠しました [詳細: Krebs on Security]。

ブラウザがサンドボックスを強化する中、キャッシュの乱用は増加するでしょう。組織は EDR ルールでキャッシュフォルダをスキャンし、異常なエクスプローラー引数をブロックし、ユーザーに偽の修正についてトレーニングする必要があります。

防御者、迅速に行動してください: ブラウザポリシーを更新してスキャン時にキャッシュをクリアし、ブラウザで PowerShell を監視します。脅威ハンターは「cache_*.dat」ファイルの異常をハントします。この低テクトリックは、回避軍拡競争が決して終わらないことを証明しています。

翻訳元: https://cyberpress.org/clickfix-payload-hides-malware/

ソース: cyberpress.org
#ClickFix #EDR回避 #Windows悪用 #キャッシュ悪用攻撃 #サイバー攻撃 #セキュリティ脅威 #フィッシング #ブラウザキャッシュ #ペイロード配信 #マルウェア

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に