偽装アドブロッカーによる新たな「ClickFix」攻撃
悪質な広告キャンペーンが、偽装アドブロッカーのChromeおよびEdge拡張機能「NexShield」を利用し、ブラウザを意図的にクラッシュさせて「ClickFix」攻撃の準備を行っていることが明らかになりました。この攻撃は1月初旬に確認され、企業環境に新たなPythonベースのリモートアクセスツール「ModeloRAT」を展開しています。
巧妙な偽装:アドブロッカー「NexShield」の正体
削除されたChromeウェブストアで配布されていた「NexShield」は、プライバシー重視で高性能、軽量なアドブロッカーとして宣伝されていました。さらに、1,400万人以上のユーザーを持つ正規のアドブロッカー「uBlock Origin」のオリジナル開発者であるRaymond Hill氏によって作成されたと偽装し、ユーザーを欺いていました。
「CrashFix」:ブラウザクラッシュのメカニズム
セキュリティ企業Huntressの研究者によると、NexShieldは「chrome.runtime」ポート接続を無限ループで作成し、メモリリソースを使い果たすことでブラウザにサービス拒否(DoS)状態を引き起こします。これにより、タブのフリーズ、ChromeプロセスのCPU使用率とRAM使用量の増加、ブラウザ全体の応答停止が発生し、最終的にはChrome/Edgeがハングアップまたはクラッシュします。Huntressはこのタイプの攻撃を「ClickFix」の亜種として「CrashFix」と名付けています。
クラッシュ後の悪質な誘導とマルウェア展開
ブラウザが再起動されると、拡張機能は偽の警告ポップアップを表示し、問題の特定のためにシステムのスキャンを促します。これに従うと、ユーザーのデータが危険に晒されているという偽のセキュリティ警告が表示され、Windowsのコマンドプロンプトで悪質なコマンドを実行するように指示されます。
典型的な「ClickFix」の手法と同様に、悪質な拡張機能はコマンドをクリップボードにコピーし、ユーザーに「Ctrl+V」を押してコマンドプロンプトで実行するよう指示します。この「修正」コマンドは、リモート接続を介して難読化されたPowerShellスクリプトをトリガーし、悪意のあるスクリプトをダウンロードして実行するよう設計されています。
企業を狙う「ModeloRAT」の脅威
この攻撃では、検出を回避するためにNexShieldインストールから60分間の実行遅延が設けられています。企業環境に特化したドメイン参加型ホストに対しては、強力なリモートアクセスツール「ModeloRAT」が展開されます。ModeloRATは以下の機能を持ちます:
- システム偵察
- PowerShellコマンドの実行
- レジストリの変更
- 追加ペイロードの導入
- 自己更新
一方、一般家庭のユーザーなど非ドメインホストに対しては、コマンド&コントロールサーバーから「TEST PAYLOAD!!!!」というメッセージが返されており、これは優先度が低いか、現在開発中であることを示唆しています。
進化する攻撃手口と脅威アクター「KongTuke」
今月初めには、Securonixがフルスクリーンモードを悪用して偽のWindows BSOD画面を表示する別の「ClickFix」攻撃を報告していますが、「CrashFix」ではブラウザのクラッシュが実際に発生するため、より説得力があります。
Huntressは、今回の「CrashFix」攻撃を、2025年初頭から監視対象となっている脅威アクター「KongTuke」によるものと断定しています。研究者たちは、KongTukeが進化しており、サイバー犯罪者にとってより収益性の高い企業ネットワークへの関心を高めていると考えています。
対策と予防策
「ClickFix」攻撃の被害に遭わないためには、システムで実行される外部コマンドの影響を十分に理解することが重要です。また、ブラウザ拡張機能は信頼できる発行元またはソースからのみインストールするようにしてください。
もしNexShieldをインストールしてしまったユーザーは、拡張機能をアンインストールするだけではModeloRATやその他の悪意のあるスクリプトが除去されないため、速やかにシステム全体のクリーンアップを実行する必要があります。