Tor対応のClickFixキャンペーン、WindowsにNode.js RATを配布

ハッカーたちは「ClickFix」として知られる欺瞞的な手法を使用して、Windowsユーザーを狙った高度なNode.jsベースのリモートアクセストロイの木馬（RAT）を配布しています。

2025年初頭に人気を集めたClickFixは、ユーザーを偽のCAPTCHAまたは検証プロンプトとのやり取りに欺きます。

この最新のキャンペーンでは、攻撃者は被害者を悪意のあるコマンドの実行に誘い、正規のセットアップファイルに偽装したマルウェアを静かにインストールさせます。

以前のキャンペーンではClickFixを使用して、LegionLoaderやLummaStealerなどの脅威を拡散させていました。しかし、この新しい活動は、より高度でモジュラー化されたマルウェアへの明らかな進化を示しています。

Netskope Threat LabsはWindowsユーザーを狙った新しいClickFixキャンペーンを追跡しています。攻撃は、ユーザーが偽のCAPTCHAページをクリックするときに始まります。背後では、ユーザーの視認性なしにBase64エンコードされたPowerShellコマンドが実行されます。

このコマンドは、「NodeServer-Setup-Full.msi」という悪意のあるMSIインストーラーをなりすましドメインからダウンロードし、バックグラウンドで静かにインストールします。

インストーラーには、完全なNode.jsランタイムが含まれており、マルウェアが依存関係なしに任意のWindowsシステムで実行できるようになります。インストール後、conhost.exeを使用して隠されたスクリプトを実行し、疑いを回避します。

Tor対応のClickFixキャンペーン

永続性を維持するために、マルウェアはRunキーの下のWindowsレジストリに自身を追加します。これにより、システムが再起動されるたびに自動的に起動されることが保証されます。

MSI内のCustomActionは、conhost.exeを呼び出してnode.exeをスポーンし、悪意のあるブートストラップスクリプトを実行します。

この脅威の最も注目すべき機能の1つは、その「ファイルレスのような」アーキテクチャです。コアとなる悪意のあるコンポーネントはディスクに保存されていません。代わりに、感染後にコマンドアンドコントロール（C2）サーバーから動的に配信されます。

この設計により、マルウェアは静的ファイル検出に依存する従来のアンチウイルスツールを回避できます。ペイロードはNode.jsを使用してメモリ内で直接コードを実行し、フォレンジック分析を大幅に困難にします。

たとえば、マルウェアにデータ盗聴機能を埋め込むのではなく、攻撃者はサーバーからJavaScriptモジュールを送信し、それらを被害者のマシン上のサンドボックス環境で実行します。

その活動をさらに隠すために、マルウェアはTorネットワークを使用してC2サーバーと通信します。Torクライアントをダウンロードし、ローカルプロキシを設定し、gRPCを使用して接続を確立します。gRPCはリアルタイムの双方向通信をサポートするプロトコルです。

これにより、攻撃者はコマンドを送信し、盗まれたデータをすぐに受け取ることができる一方、Torの匿名性の背後にインフラストラクチャを隠すことができます。

接続されると、マルウェアは以下を含む詳細なシステム情報を収集します：

稀なひねりで、研究者たちは攻撃者による運用セキュリティのミスを特定しました。このエラーにより、マルウェアのバックエンドシステムで使用される内部プロトコルファイルが露出しました。

漏洩したデータは、以下のような機能を備えた完全なマルウェア・アズ・ア・サービス（MaaS）プラットフォームを明かしました：

これは、キャンペーンが単一の行為者ではなく、複数のアフィリエイトにツールを提供する大規模なサイバー犯罪エコシステムの一部であることを確認しています。

このキャンペーンは、ディスク上に痕跡を残さないモジュラーで、メモリ内に存在するマルウェアへのより広い移行を強調しています。社会工学、Torベースの通信、および動的ペイロード配信を組み合わせることにより、攻撃者は検出と分析をますます困難にしています。

Netskope研究者は、ClickFixベースの攻撃が継続的に進化し、特に偽のCAPTCHAスキャムに気づいていないWindowsユーザーにとって重大な脅威ベクトルであり続けることを警告しています。