セキュリティ研究者は、Windows Terminalを悪用して侵害されたシステム上で悪意あるペイロードを実行する新しいClickFix社会工学キャンペーンを特定しました。
2026年2月にMicrosoft Defenderの専門家によって観察されたこのアクティビティは、攻撃者が一般的なセキュリティ検出を回避し、悪意のある指示をユーザーにより正当に見せるための技術を進化させていることを示しています。
ClickFix攻撃は社会工学に大きく依存しています。ソフトウェアの脆弱性を悪用する代わりに、攻撃者は被害者に悪意あるコマンドを自分で実行するように欺きます。
このキャンペーンでは、攻撃者は実行方法を変更し、従来のWindows実行ダイアログではなく Windows Terminalを起動するよう 被害者に指示しました。この微妙な変更は、攻撃が通常の管理ワークフローに混ざるのに役立ちます。
以前のClickFixキャンペーンは、被害者にWin + Rを押し、コマンドを貼り付けて、実行ダイアログを通じてそれを実行するよう指示するのが一般的でした。
セキュリティツールとモニタリングシステムは、この動作パターンを検出することをますます学んでいます。これらの防御を回避するために、攻撃者は現在、被害者にWindows + Xを押してから、Iを押してWindows Terminal(wt.exe)を起動するよう指示しています。
Windows Terminalは、開発者と管理者がPowerShell、コマンドプロンプト、およびその他のシェル環境を実行するために使用する正当なコマンドライン環境です。
システム管理タスクに広く使用されているため、それを起動しても即座には疑わしく見えません。これにより、ユーザーにとって方法がより説得力があり、自動化されたセキュリティシステムが悪意のあるアクティビティとしてフラグを付けることが難しくなります。
ターミナルが開いたら、被害者は攻撃者によって提供されたPowerShellコマンドを貼り付けるよう指示されます。
これらのコマンドは通常、難読化されており、 リモートサーバーから追加のマルウェアをダウンロードまたは実行するように設計されています。実行はターミナル環境内で直接行われるため、攻撃者はシステム上に初期足がかりを確立できます。
悪意のある指示は、無害に見える欺瞞的なWebサイトとプロンプトを介して配信されます。
被害者は、偽のCAPTCHAページ、システム検証メッセージ、またはトラブルシューティング指示に遭遇する可能性があります。これらは、ユーザーが問題を解決したり、人間であることを確認したりするためにコマンドをコピーして貼り付ける必要があると主張しています。
これらのプロンプトは、正当な技術的指示を模倣するように慎重に作成されています。たとえば、ページはコマンドがユーザーのブラウザを確認したり、接続の問題を修復したり、保護されたコンテンツへのアクセスを有効にしたりするために必要であると主張する可能性があります。
手順は日常的なトラブルシューティングタスクに似ているため、被害者は悪意のあるコードを実行していることに気付かずにそれらに従う可能性があります。
Windows Terminalを実行環境として使用することで、攻撃者はいくつかの利点を得ます。
この技術は、実行ダイアログの悪用に焦点を当てたセキュリティ検出をバイパスし、MsftSecIntelが疑いを軽減し、ユーザーはコマンドラインツールに精通しており、制限が少ないPowerShellペイロードを実行する直接的な方法を提供します。
セキュリティ専門家は、組織がコピーペースト攻撃についてユーザーを教育し、疑わしいPowerShellアクティビティを厳密に監視することを推奨しています。
信頼できないスクリプトをブロックし、管理コマンドの実行を制限し、ユーザーの認識を向上させることは、進化するClickFixキャンペーンがもたらすリスクを軽減するのに役立ちます。
翻訳元: https://cyberpress.org/clickfix-attack-targets-windows/