Netskope Threat Labs のサイバーセキュリティ研究者が、ClickFix 配信ベクトルを利用した洗練された新しいフィッシングキャンペーンを発見しました。
2025年初頭に LegionLoader や LummaStealer などのマルウェア配信で注目を集めた ClickFix 技術は、現在、Windows ユーザーに対して高度に適応可能な Node.js ベースのリモートアクセストロイ (RAT) を配信しています。
攻撃者は偽の CAPTCHA プロンプトを使用して、被害者に隠された Base64 エンコードされた PowerShell コマンドを実行するよう仕向けます。
このコマンドは、リモートサーバーから自己完結型の MSI インストーラーを静かにダウンロードし、マルウェアに完全な Node.js ランタイム環境を装備させます。
偽の CAPTCHA がバックグラウンドダウンロードをトリガーすると、ペイロードは感染したマシン上に確固とした足がかりを確立します。MSI インストーラーは自身をローカルアプリケーションデータフォルダーに書き込みます。
ユーザーに表示されるウィンドウやアラートなしでブートストラップスクリプトを呼び出します。システムの再起動後も存続するために、マルウェアは現在のユーザーの実行設定の下に「LogicOptimizer」という名前のレジストリ値を自動的に追加します。
このレジストリキー内に実行コマンドをネストすることで、被害者がコンピューターにログインするたびに悪意のあるペイロードが自動的にトリガーされます。
永続性を確保してシステムをプロファイリングした後、マルウェアはそのコマンドアンドコントロール (C2) 接続を確立します。
公式の Tor Project ウェブサイトから Tor Expert Bundle を直接ダウンロードし、ローカル SOCKS5 プロキシを作成します。
このプロキシを通じて、マルウェアは双方向の gRPC ストリーミングトラフィックを Tor ネットワーク経由でルーティングします。このセットアップは攻撃者のインフラストラクチャーを完全にマスクしながら、オペレーターがリアルタイムコマンドをプッシュし、盗まれたデータをストリーミングで返すことができます。
マルウェアはメモリ内で完全に動作します。つまり、その中核データ盗難モジュールは被害者のハードドライブに触れることはありません。代わりに、C2 サーバーがJavaScript コードを文字列として送信し、マルウェアは Node.js 仮想マシンサンドボックス内でそれを実行します。
このモジュール式アプローチは従来のシグネチャベースの検出をバイパスし、攻撃者がシェルコマンド実行と認証情報の収集などの機能を動的に読み込むことを可能にします。
注目すべきことに、脅威行為者による運用セキュリティの失敗により、研究者はバックエンドインフラストラクチャーの貴重な内部を見ることができました。
ダッシュボードにより、サイバー犯罪者は感染したマシンをフィルタリングし、ブラウザ拡張機能とデスクトップアプリケーション全体で暗号資産ウォレットを追跡し、新しい被害者が侵害されたときに Telegram 経由でリアルタイム通知を受け取ることができます。
この程度の組織化は、ターゲットされた暗号資産盗難機能を複数のアフィリエイトに積極的に販売している成熟した犯罪企業を示しており、この Node.js ペイロードを高度に適応可能な脅威として確立しています。
翻訳元: https://cyberpress.org/clickfix-drops-node-js-rat/