悪名高いClickFixマルウェアにリンクされた新しいインフォスティーラーキャンペーンが、偽のCAPTCHAページに見せかけたフィッシング餌を通じて急速に拡散しています。
CyberProof MDRアナリストがこの活動を調査中であり、彼らの調査結果は攻撃者がブラウザ認証情報、暗号資産ウォレット情報、VPN設定など、幅広い機密データを盗むために悪意のあるスクリプトを使用していることを確認しています。
この記事では、このキャンペーンのメカニズム、攻撃ベクトル、および攻撃者が検出を回避するために使用するツールについて詳しく説明します。
このキャンペーンは、ユーザーが偽のCAPTCHAプロンプトを表示する侵害されたウェブサイトにアクセスすると開始されます。これらのプロンプトは、被害者を攻撃者のインフラストラクチャから悪意のあるペイロードをダウンロードするPowerShellコマンドを実行するように騙します。
1つの事例では、2026年1月23日に異常なクリップボード読み取りイベントが攻撃をトリガーしたときに、最初の疑わしいPowerShell実行が検出されました。その後、PowerShellスクリプトはIPアドレス178.16.53.70から第2段階ペイロードを取得しました。
アナリストは、Windowsペイロードがメモリから直接実行されることを可能にするツールであるDonutソフトウェアが、初期ファイルcptch.binに使用されていることを特定しました。
PowerShellスクリプトは複数の段階を持っており、第2段階ペイロードは94.154.35.115から追加のシェルコードをダウンロードしようとします。
スクリプトは$finalPayloadを変数名として使用しており、これはMicrosoft Defenderがフラグを立てて終了した運用セキュリティ(OpSec)エラーであり、アナリストがマルウェアのアクションを検出するのに役立ちました。
ペイロードが正常にダウンロードされると、標準のWindows APIを使用してsvchost.exeなどの正規のシステムプロセスにプロセスインジェクションを行うためのメモリを割り当てます。
マルウェアは永続化するように設計されており、RunMRUレジストリキーを変更してシステム再起動後の実行を確認します。これにより、攻撃者は制御を再確立し、感染サイクルを再開することができます。
インストールされると、ClickFixインフォスティーラーは幅広いアプリケーションをターゲットにし、主にブラウザ、VPN設定、および暗号資産ウォレットからデータを流出させることに焦点を当てています。
マルウェアはChrome、Edge、Braveなどの一般的なブラウザ、およびTorなどの特殊なブラウザを含む25以上のブラウザバージョンから認証情報を盗むことができます。
マルウェアはバックグラウンドで静かに動作し、侵害されたシステムへのアクセスを維持し、機密データを攻撃者が制御するサーバーに流出させます。
疑わしいIPアドレスとファイルハッシュを含む、複数の侵害インジケーター(IoC)が特定されています。
このような攻撃のリスクを軽減するために、組織は以下を含む複数の防御措置を講じるべきです:
このキャンペーンで使用される偽のCAPTCHA餌は重大な脅威をもたらします。攻撃者は従来の防御をバイパスするために洗練された多段階ペイロード配信技術を採用しています。
強力なセキュリティ体勢を維持し、高度な検出ツールを使用し、ユーザーを教育することにより、組織はこの進化する脅威がもたらすリスクを軽減できます。
サイバー犯罪者が戦術とペイロードを継続的に変更し続けるため、継続的な監視と高度な脅威ハンティングが機密データを保護するために重要です。
翻訳元: https://cyberpress.org/clickfix-infostealer-uses-captcha/