ClickFixからMetaStealerへ：進化する脅威アクターの手法を解剖する

ジョン・ハモンド、オールデン・シュミット、リンジー・ウェルチによる

過去15営業日間、Huntressのアナリストは、いくつかの注目すべき手法を用いた脅威活動の増加を観測しました。あるケースでは、悪意のあるAnyDeskインストーラーが、最初は偽のCloudflare認証ページを使って標準的なClickFix攻撃を装い、その後WindowsファイルエクスプローラーとPDFに偽装したMSIパッケージを利用してMetaStealerマルウェアを展開しました。

さらに、Cephalusランサムウェアの亜種に関わる2件のインシデントも検出されました。

このランサムウェアは、正規のSentinelOne実行ファイルであるSentinelBrowserNativeHost.exeを利用したDLLサイドローディングによってペイロードを起動する点で特徴的です。これらの最新の発見は、確立されたソーシャルエンジニアリング手法と、より技術的に高度な感染チェーンや回避的な展開戦略を組み合わせることで、脅威アクターの手法が進化し続けていることを浮き彫りにしています。

ClickFix攻撃はここ1年以上増加傾向にあり、攻撃者はCAPTCHAを使った誘導でユーザーに悪意のあるコードを実行させることに成功しています。この種の攻撃は当社でも多く観測していますが、ClickFixの手法を模倣しつつも、完全に同じ手口ではない攻撃も見られるようになっています。

最近、当社のジョン・ハモンドが、AnyDeskリモートツールを検索中に偽のAnyDeskインストーラーに遭遇したというメールを受け取りました。

攻撃の初期兆候は、また別のClickFix詐欺になるかと思われましたが、少し調査を進めると、偽のCloudflare Turnstile誘導、Windows検索プロトコル、PDFに偽装したMSIパッケージが被害者のホスト名を巧妙に取得するという独自の感染チェーンが明らかになりました。

この攻撃の最終目的は、2022年から存在し、認証情報の収集やファイルの窃取で知られる汎用情報窃取型マルウェア「MetaStealer」を落とすことです。

ClickFix、FileFix、その他の「fix」亜種

まずは広く使われているClickFix手法の簡単な解説です。ClickFixの前提は、脅威アクターがユーザーに「問題を修正する」よう説得することで、通常はフィッシングメッセージなどから誘導されたウェブページ上のCAPTCHAを利用します。

「解決策」として、攻撃者が用意したコマンドを被害者がコピー＆ペーストすることで、攻撃チェーンが密かに開始されます。

従来のClickFix攻撃では、ユーザーを騙してWindowsの「ファイル名を指定して実行」ダイアログやPowerShellでコマンドを実行させますが、他にも異なるアプローチを取る亜種が登場しています。数か月前には、FileFixと呼ばれる、Runダイアログの代わりにWindowsファイルエクスプローラーを使う類似手法も現れました。

当社ではClickFix攻撃に起因する多数のインシデントを確認しています。例えば下記の図1の2023年8月26日の事例では、ユーザーが偽のCloudflare Turnstile（Cloudflareがボット排除用にCAPTCHAの代替として提供する認証ツール）を通じて与えられた悪意あるコマンドを実行してしまいました。

これにより、情報窃取型マルウェアがダウンロード・インストールされました。

詳しく調査すると、被害者はteams-one[.]comというランディングページにアクセスしていました。このページはCloudflare Turnstileを表示し、ClickFix攻撃の初期段階を示していました。

以下で説明する類似点はあるものの、上記の一般的なClickFixインシデントは、最近発見したMetaStealer攻撃とは大きく異なります。

ClickFix風だが「fix」ではない攻撃：観測内容

偽AnyDeskインストーラーの初期リンクは、ユーザーをhttps[://]anydeesk[.]ink/download/anydesk[.]htmlにリダイレクトし、Cloudflare Turnstileと非常に怪しいUIを表示します。

このページは「セキュアアクセス認証」をサポートしていると称し、Cloudflare Turnstile上のボタンをクリックして「人間であることを確認」するようユーザーに促します。

ウェブページのHTMLソース（View Sourceで確認）をざっと見ると、難読化されたJavaScriptで覆われていますが、ブラウザの開発者ツールにあるJavaScriptデオブスクエーションツールで簡単に解読できます。

これにより実際のソースコードが判明し、window.location.hrefの値がhttps[://]verification[.]anydeesk[.]ink/reCAPTCHA-v2[.]phpであることが分かります。

ここまでは、典型的なClickFixキャンペーンの特徴がすべて揃っています：古典的な人間認証のソーシャルエンジニアリング要素があり、ユーザーにボックスをクリックさせる構成です。

しかし、被害者がボックスをクリックすると、この攻撃のプロンプトはWindowsの「ファイル名を指定して実行」ダイアログではなく、Windowsのファイル管理ツールであるファイルエクスプローラーに誘導されます。

これはFileFix攻撃の特徴に近いですが、この攻撃は厳密にはFileFixでもありません。FileFixでは、被害者がWindowsファイルエクスプローラーのアドレスバーを（Ctrl+LとCtrl+Vの組み合わせで）起動し、クリップボードに自動コピーされたPowerShellコマンドを貼り付けさせます。

しかし今回の攻撃では、上記PHPがユーザーをWindowsプロトコルハンドラ（search-ms URI）にリダイレクトします。これは、アプリケーションがWindowsファイルエクスプローラーで特定の検索クエリを実行できる正規の機能です。

特定のWindowsファイルエクスプローラー「検索」リダイレクト先は下記図4の通りで、search-ms URIプロトコルの一部としてカスタム検索クエリ名が表示されています。

下記図5の通り、Windowsファイルエクスプローラーは被害者を攻撃者が管理するSMB共有（ネットワーク経由でリモートサーバー上のファイルにアクセス可能なリモートファイル共有）に誘導します。

ここで、被害者にはWindowsショートカット（LNK）ファイルが表示されますが、このLNKファイルはReadme Anydesk.pdfというPDFファイルに偽装されています。

偽PDF誘導：被害者ホスト名の取得

下記の通り、LNKファイルのペイロードは以下です：

このファイルをクリックすると、いくつかのプロセスが起動します。ここでcmd.exeがMicrosoft Edge上で正規のAnyDeskインストーラーを自動ダウンロードし、被害者の疑念を避ける狙いがあると考えられます。

同時に、もう一つの「PDF」と称するファイルがchat1[.]storeからダウンロードされ、一時ディレクトリに保存されます。

注目すべきは、この偽PDFが%COMPUTERNAME%環境変数をサブドメインとして取得するよう設定されている点です。サブドメインは事前にユーザーのホスト名を知る必要がないため、攻撃者が被害者からその情報を巧妙に抜き取る手段となっています。

偽PDFはmsiexecによってインストールされ（実際はMSIパッケージであることが判明）、その後cmd.exeプロセスが終了します。

chat1[.]store（curlユーザーエージェント経由でアクセス）を詳しく調べると、MSIパッケージ内のすべてのファイル、攻撃チェーンの一部として実行されるファイルが確認できます。

MSIパッケージ内で重要なのは、DLL（CustomActionDLL）とCABアーカイブ（Binary.bz.WrappedSetupProgram）で、後者にはさらに複数のファイルが含まれています。CABファイルには、感染チェーンのクリーンアップを担う1.jsと、MetaStealerドロッパーであるls26.exeという2つの悪意あるファイルが含まれています。

MetaStealerファイル（ls26.exe）は非常に大きなバイナリで、Private EXE Protectorで保護されています。さらに調査すると、既知のMetaStealerサンプルと同様、暗号資産ウォレットからの窃取などの挙動が確認されました。

ClickFix亜種と得られた教訓

ClickFix、FileFix、そして今回発見したこのClickFix亜種は、ソーシャルエンジニアリングと、CAPTCHAや他の認証ツールのような日常的なプロセスを組み合わせることで攻撃力を高めていることを示しています。

また、こうした攻撃は被害者自身が「壊れたプロセスを修正」しようと手動操作を求められるため、セキュリティソリューションを回避できる可能性がある点も一因です。

ClickFixに関する組織向けの従来の対策は、日常業務で不要な場合はユーザーによるWindowsの「ファイル名を指定して実行」ダイアログの利用を禁止するなどが中心でした。

これは従来型ClickFix攻撃には有効ですが、上記のような亜種が登場したことで、脅威アクターは感染チェーンを進化させ、検知や防御を困難にしています。

組織は追加対策として、ClickFix系攻撃の誘導手口についてユーザー教育を徹底すべきです。ユーザーには、Runダイアログへのコピペや、Windowsファイルエクスプローラーへのリダイレクトを促すCAPTCHAの見分け方を訓練しましょう。

状況認識を維持しましょう—Tradecraft Tuesdayに登録を

Tradecraft Tuesdayは、サイバーセキュリティ専門家向けに、最新の脅威アクター、攻撃ベクトル、対策戦略の詳細分析を提供します。

毎週のセッションでは、最近のインシデントの技術的な解説、マルウェア動向の包括的な分析、最新の侵害指標（IOC）を紹介します。

参加者は以下を得られます：

• 新たな脅威キャンペーンやランサムウェア亜種に関する詳細なブリーフィング

• 証拠に基づく防御手法や復旧テクニック

• Huntressアナリストとの直接対話によるインシデント対応の知見

• 実践的な脅威インテリジェンスや検知ガイダンスへのアクセス

Tradecraft Tuesdayに登録する →

組織の環境を守る責任者向けに設計された、リアルタイムのインテリジェンスと技術教育で防御態勢を強化しましょう。

IOC（侵害指標）

Huntressによるスポンサードおよび執筆。