脅威アクターは、Windows実行ダイアログボックスとmacOSターミナルを悪用して、従来のブラウザ保護を回避しながらマルウェアを配布する強力なClickFixベースの攻撃を標準化しています。
Insikt Groupは、2024年5月以降にアクティブな5つの異なるClickFixアクティビティクラスターを追跡しており、Intuit QuickBooksやBooking.comなどのブランドになりすましている誘い文があります。
Recorded FutureのHTMLコンテンツ分析データセットを使用して、アナリストはDOMハッシュ、ハードコードされた画像ソース、および一意のページタイトルをピボットして悪意あるインフラストラクチャをマップし、新しいClickFixドメインの近リアルタイム検出を可能にしました。
その核心では、ClickFixのソーシャルエンジニアリング方法は、ユーザーが技術検証を完了するか、コマンドをコピーして実行することで作成されたエラーを修正する必要があると確信させるものです。
誘い文の内容とブランディングは異なりますが、すべてのキャンペーンは、悪用をブラウザから離れてネイティブOSツールにシフトさせる一貫した実行モデルを共有しています。
Insikt Groupは5つの異なるClickFixアクティビティを特定・追跡し、誘い文のテーマにおいて重大な運用上の相違を示すクラスターが見られます。
この「スマートに考え、無理をしない」というモデルは、ソフトウェアバグの悪用ではなくユーザー行動の操作に焦点を当てており、これは硬化したブラウザと自動化されたエンドポイント制御に対して耐性があります。
新たなClickFix攻撃
5つのすべてのクラスター全体において、脅威アクターはWindows実行ダイアログ、PowerShell、およびmacOSターミナルを含む信頼できるシステムユーティリティで、高度に難読化されたコマンドを実行するようにユーザーをだまします。
多くのキャンペーンは、ユーザーが偽のreCAPTCHAまたはCloudflareスタイルの人間確認チャレンジで注意をそらされている間に、符号化されたコマンドをクリップボードに静かに読み込むpastejacking JavaScriptに依存しています。
他の場合には、ユーザーは実行またはターミナルを開き、コマンドを手動で貼り付けるための詳細なステップバイステップの指示が与えられ、買収を増加させ、単純なクリップボード監視を回避しています。
技術的には、ClickFixは標準化された4段階のパターンに従います:第1に、ユーザーは高度に符号化またはフラグメント化された文字列を処理します。第2に、これらの文字列はpowershell.exe、zsh、またはbashなどの正規シェルを介して実行されます。第3に、ステージャーは攻撃者が制御するドメインに到達します。最後に、ダウンロードされたコンテンツはメモリで実行され、ディスク上にはほとんどアーティファクトが残されません。
このliving-off-the-landアプローチは、署名付きバイナリとネイティブツールを活用して、多くのエンドポイント防御を回避し、フォレンジック調査を複雑にします。
Insikt Groupの分析は、ClickFixが現在、サイバー犯罪者と潜在的なAPT行為者の両方による断片化されたエコシステムによって採用される高ROIテンプレートであることを示しています。
キャンペーンは、会計(QuickBooks)、旅行(Booking.com)、macOSシステム最適化を含むセクターをターゲットにしており、不動産および法律サービスを目的とした追加のアクティビティがあります。
一部のクラスターは古いドメインまたは再利用されたドメインを使用していますが、他のクラスターは、Windows またはサーバー側のOS検出に基づいてmacOSにコマンドをカスタマイズするデュアルプラットフォームロジックを採用しています。
Windowsに焦点を当てたチェーンは、一般的にInvoke-RestMethodとInvoke-Expressionを組み合わせた難読化されたPowerShellを使用して、NetSupport RATなどのペイロードを完全にメモリ内で取得して実行します。
macOSに焦点を当てたチェーンは、多段階エンコーディングと静止フラグ付きcurl(例えば、-kfsSL)に依存して、MacSyncなどのステーラーマルウェアをCloudflareの背後に隠されたインフラストラクチャから取得しています。
これらの違いにもかかわらず、基礎となるロジックは再利用可能であり、既存のインフラストラクチャがブロックされた場合に新しいドメイン上で迅速に再構築できる「実行と繰り返し」キャンペーンを可能にします。
見通し:2026年を通じた継続的なリスク
2024年以降に観察された急速な採用に基づいて、Insikt Groupは、ClickFixが2026年を通じて主要な初期アクセスベクトルであり続ける可能性が非常に高いと評価しています。
クラスターは最近、米国の不動産マーケットプレイスZillowのユーザーをターゲットにすることにピボットしました。QuickBooks関連のアーティファクトとブランド固有の画像は、Document Object Model(DOM)全体に深く組み込まれたままです。
今後の誘い文は、より選別的なブラウザフィンガープリンティングと適応的なコンテンツを追加することが期待されており、ユーザーと静的防御の両方が正規の検証フローと区別するのが難しくなります。
組織がPowerShellなどの強力なツールとターミナルをエンドユーザーに強力なガイドレール無しで公開し続ける限り、脅威アクターはClickFixをエクスプロイトキットの低複雑性で高リターンの代替手段として好み続けるでしょう。
Insikt Groupは、ディフェンダーが単純なインジケータブロッキングからネイティブユーティリティの攻撃的な動作強化にピボットすべきであることを強調しています。
2段階目のペイロード bibi.phpをダウンロードするPowerShellステージャーは、それを %TEMP% ディレクトリにscript.ps1として保存します。
推奨される対策には、グループポリシーを介してWindows実行ダイアログをオフにすること、PowerShell Constrained Language Modeを実施すること、WindowsでAppLockerまたはWDACで実行ポリシーを厳しくすること、およびmacOSでMDM実施の制限とSIPベースの制御をTerminal及び他のシェルに適用することが含まれます。
Recorded Futureを使用している組織は、HTMLコンテンツ分析と継続的に更新されたリスクリストを活用して、ブランドなりすましを追跡し、新しいClickFixドメインを検出し、SIEMおよびEDRツールでステージングとC2インフラストラクチャをブロックすることが推奨されています。
「手動検証」プロンプトの危険と、実行、PowerShell、またはTerminalにコマンドを貼り付けるあらゆるリクエストを強調する標的化されたユーザートレーニングは、この急速に進化するソーシャルエンジニアリング技術に対する重要な最後の防御線です。
翻訳元: https://gbhackers.com/clickfix-attack-exploits-windows/
