概要
新しいClickFix Infostealerキャンペーンが、偽のCAPTCHAページを悪用して資格情報窃取マルウェアを配布しています。このキャンペーンは、レストラン予約システムを標的とした2025年7月のClickFix操作と類似性があります。
攻撃の詳細
初期アクセスと実行:1月23日、CyberProofアナリストが複数のEDRアラートを検出した。これらのアラートはクリップボードへのアクセスを通じて発生し、その後に不審なPowerShellの実行がありました。
攻撃者は被害者が偽のCAPTCHAチャレンジを持つ侵害されたウェブページを訪問したときに、攻撃が開始されます。ユーザーがCAPTCHA要素と対話すると、PowerShellコマンドがメモリから実行され、攻撃者のIPアドレス91.92.240.219からコンテンツを取得します。
このスクリプトはマルウェアの多段階感染プロセスを開始し、追加のペイロードを178.16.53.70からダウンロードします。さらにcptch.binと呼ばれる位置独立型シェルコードがDonutというツールを使用して直接メモリに読み込まれます。
持続性と機能
ClickFix攻撃は、RunMRUレジストリキーを変更することで永続性を持たせます。これにより、Windowsが起動時にPowerShellの再配署スクリプトを実行します。
マルウェアの動作
マルウェアは、Webブラウザ(Chrome、Edge、Braveなど)、VPN(NordVPN、Mullvadなど)、暗号通貨ウォレット(MetaMask、Exodusなど)から資格情報やデータを盗みます。
対策
セキュリティチームは、リストされたIPへのPowerShellネットワーク接続と異常なRunMRUエントリーのレジストリ変更を監視することで再感染サイクルを防ぐことができます。
インデックス・オブ・コムプロマイズ(IoCs)
- IPアドレス:94.154.35.115, 91.92.240.219, 178.16.53.70
- ドメイン:pinmaha.com
- MD5ハッシュ:fe4a3fb1a48bbdea986e05d1459f925e, f50846dcf09e0c7ce582040fb128ebf3, a3cff7d2ef600d58bca156de0b299d88