新手のClickFix攻撃が情報窃取マルウェア「Amatera」を拡散
サイバーセキュリティ研究者たちは、ClickFixスタイルの偽CAPTCHAと署名付きMicrosoft Application Virtualization (App-V) スクリプトを組み合わせた新たな攻撃キャンペーンの詳細を明らかにしました。この手口により、情報窃取マルウェア「Amatera」が拡散されています。
Blackpointの研究者であるJack Patrick氏とSam Decker氏は、報告書で「PowerShellを直接起動する代わりに、攻撃者はこのスクリプトを利用して実行開始方法を制御し、より一般的で容易に認識される実行経路を回避している」と述べています。これにより、App-Vスクリプトは、信頼されたMicrosoftコンポーネントを介してPowerShellの実行をプロキシする「Living-off-the-land (LotL)」バイナリに変換され、悪意のある活動を隠蔽します。
App-Vの「SyncAppvPublishingServer.vbs」悪用手口
攻撃の出発点は、偽のCAPTCHA検証プロンプトです。これは、ユーザーを騙してWindowsの「ファイル名を指定して実行」ダイアログに悪意のあるコマンドを貼り付け、実行させようとします。しかし、この攻撃は従来のClickFix攻撃とは一線を画しています。
- 提供されるコマンドは、PowerShellを直接呼び出すのではなく、App-Vに関連する署名付きVisual Basic Scriptである「SyncAppvPublishingServer.vbs」を悪用します。
- 「wscript.exe」を使用して、外部サーバーからメモリ内ローダーを取得・実行します。
「SyncAppvPublishingServer.vbs」の悪用自体は新しいものではなく、2022年にはDarkHotelとBlueNoroffという中国と北朝鮮の脅威アクターが、このLOLBinエクスプロイトを利用してPowerShellスクリプトを密かに実行しているのが確認されています。しかし、ClickFix攻撃でこれが見られたのは今回が初めてです。
MITREのATT&CKフレームワークは、「攻撃者はPowerShellの実行制限を回避し、防御策を回避するためにSyncAppvPublishingServer.vbsを悪用することがある。実行をプロキシすることで、’powershell.exe’を直接呼び出す信頼された/署名された代替手段として機能する可能性がある」と指摘しています。
また、App-Vスクリプトの使用は、その仮想化ソリューションがWindows 10およびWindows 11のEnterpriseおよびEducationエディション、ならびに最新のWindows Serverバージョンにのみ組み込まれているため、非常に重要です。Windows HomeまたはProインストールでは利用できません。App-Vが存在しないか有効になっていないWindowsオペレーティングシステムでは、コマンドの実行は失敗します。これは、企業が管理するシステムがこのキャンペーンの主要な標的である可能性が高いことを示唆しています。
巧妙な回避技術と設定の外部化
難読化されたローダーは、サンドボックス環境で実行されていないことを確認した後、公開されているGoogleカレンダー(ICS)ファイルから設定データを取得します。これにより、信頼されたサードパーティサービスを「デッドドロップリゾルバー」として利用しています。
「このように設定を外部化することで、攻撃者は初期段階のチェーンを再展開することなく、インフラストラクチャを迅速に切り替えたり、配信パラメーターを調整したりすることができ、運用上の摩擦を減らし、初期感染ベクトルの寿命を延ばすことができる」と研究者たちは指摘しています。
カレンダーイベントファイルを解析すると、さらなるローダー段階が取得されます。これには、中間ローダーとして機能するPowerShellスクリプトが含まれ、次の段階である別のPowerShellスクリプトを直接メモリで実行します。このステップにより、WinINet APIを介して「gcdnb.pbrd[.]co」や「iili[.]io」のようなドメインから、暗号化され圧縮されたPowerShellペイロードを隠蔽したPNG画像が取得されます。結果として得られるスクリプトは、メモリ内で復号され、GZipで解凍され、Invoke-Expressionを使用して実行され、最終的にAmatera Stealerを起動するように設計されたシェルコードローダーの実行につながります。
Blackpointは、「このキャンペーンを興味深いものにしているのは、単一のトリックではなく、すべてがどのように慎重に考案され連鎖しているかだ」と結論付けています。「各段階は、手動でのユーザー操作を要求するところから、クリップボードの状態を検証し、信頼されたサードパーティサービスからライブ設定を取得するところまで、前の段階を強化している。その結果、攻撃者が期待する通りに(ほとんど)正確に展開された場合にのみ進行する実行フローが実現され、自動デトネーションとカジュアルな分析の両方を著しく困難にしている。」
ClickFixの進化:JackFix、CrashFix、GlitchFix
ClickFixは、この1年間で最も広く使用されている初期アクセス方法の1つとなり、Microsoftが観測した攻撃の47%を占めています。最近のClickFixキャンペーンは、ソーシャルメディアのコンテンツクリエーターを標的とし、無料の認証バッジの対象であると主張し、偽のフォームにブラウザの認証トークンをコピーして貼り付けるよう指示することで、アカウントの乗っ取りを試みています。
ClickFixは常に進化しており、JackFixやCrashFixといった亜種を利用して被害者を騙し、自身のマシンを感染させています。また、ハッカーフォーラムでは月額200ドルから1,500ドルでClickFixビルダーが販売されています。
この脅威の最新の参入者は、ErrTrafficというトラフィック配信システム(TDS)です。これは、ClickFixのようなキャンペーンのために特別に設計されており、悪意のあるJavaScriptが注入された侵害されたウェブサイトをグリッチさせ、存在しない問題に対処するための修正を提案します。この技術はGlitchFixと名付けられています。
また、ClearFakeキャンペーンの背後にいる脅威アクターもClickFixを採用しており、2024年5月には、CAPTCHAチャレンジを利用してEmmenhtal Loader(PEAKLIGHT)を配信し、そこからLumma Stealerをドロップしていました。この攻撃チェーンでは、EtherHidingという既知の技術も使用され、BinanceのBNB Smart Chain(BSC)上のスマートコントラクトを使用して次段階のJavaScriptコードを取得し、異なるスマートコントラクトから取得したClickFix偽CAPTCHAをウェブページに注入しています。
ExpelのClearFakeキャンペーンの分析によると、2025年8月後半以降、実に147,521のシステムが感染した可能性があります。
ClickFix防御の困難さ
セキュリティ研究者のMarcus Hutchins氏は、「セキュリティ製品が挙動が悪意のあるものかどうかを判断するために使用する多くの要素の1つは、その挙動が信頼できるアプリケーションによって実行されているかどうかです」と述べています。「この場合、‘SyncAppvPublishingServer.vbs’はデフォルトのWindowsコンポーネントであり、ファイルはTrustedInstaller(オペレーティングシステム内部で使用される高度な特権を持つシステムアカウント)によってのみ変更できます。したがって、ファイルとその挙動自体は通常、疑われません。」
「組織やEDRは、’SyncAppvPublishingServer.vbs’が隠しモードでPowerShellを起動するのを完全にブロックすることはまずありません。それは、コンポーネントがその意図された目的に使用されるのを妨げることになるからです。結果として、’SyncAppvPublishingServer.vbs’のコマンドラインインジェクションのバグを悪用することで、攻撃者は信頼されたシステムコンポーネントを介して任意のコードを実行することができます。」
Censysは、より広範な偽CAPTCHAエコシステムを「信頼されたウェブインフラを配信表面として使用する、断片化され、急速に変化する悪用パターン」と表現しています。そこでは、Cloudflareスタイルのチャレンジが、クリップボード駆動型のPowerShellコマンド、VBスクリプト、MSIインストーラー、さらにはMatrix Push C2のようなブラウザネイティブのフレームワークへのハンドオフの導管として機能しています。これは、「Living Off the Web(ウェブを悪用する)という、セキュリティテーマのインターフェース、プラットフォームが承認したワークフロー、および条件付けられたユーザー行動の体系的な再利用によるマルウェア配信へのより広範なシフトと一致している」と述べています。
元記事: https://thehackernews.com/2026/01/clickfix-attacks-expand-using-fake.html