サイバー犯罪者が合法サイトを悪用し、MIMICRAT マルウェアを配布

セキュリティ研究者らは、ClickFix キャンペーンの詳細について発表しました。このキャンペーンでは、マルウェア配布に使用される合法サイトが不正に利用されています。

MIMICRAT とは?

この新しい ClickFix キャンペーンは、未公開のリモートアクセストロイアン（RAT）である MIMICRAT （別名 AstarionRAT）を配布します。Elastic Security Labs の報告によると、「このキャンペーンは高度な運用技術を示しており、複数の業界と地理的範囲にわたる合法サイトがマルウェア配信インフラとして使用され、マルチステージ PowerShell チェーンが ETW および AMSI をバイパスし、Lua スクリプトで作成されたシェルコードローダーをドロップします」と述べています。

MIMICRAT の特徴

• カスタム C++ RAT として開発され、Windows テキトーインペルソネーションや SOCKS5 チューニングをサポートしています。
• 22のコマンドセットがあり、プロセスとファイルシステム制御、インタラクティブシェルアクセス、トークン操作、シェルコード注入、SOCKS プロキシチューニングなど、包括的な後方展開機能を提供します。

攻撃の手口

このキャンペーンは先月に発見され、他の ClickFix キャンペーンと同様の戦術やインフラストラクチャを持っています。これらのキャンペーンでは、Matanbuchus 3.0 ローダーが使用され、これにより同じ RAT の配布が可能になります。

感染の流れ

攻撃のエントリポイントは bincheck[.]io であり、これは合法的な銀行識別番号（BIN）検証サービスです。このサイトが不正に利用され、悪意のある JavaScript コードが注入されます。

• JavaScript コードは外部ホストされた PHP スクリプトをロードします。
• PHP スクリプトは偽の Cloudflare 認証ページを表示し、ユーザーに Windows ランダイアログでコマンドをコピーして貼り付けるよう指示します。
• これにより PowerShell コマンドが実行され、C2 サーバーから第二段階の PowerShell スクリプトを取得します。このスクリプトは Windows イベントロギング（ETW）とアンチウイルススキャン（AMSI）をバイパスし、Lua ベースのローダーをドロップします。
• 最終段階では Lua スクリプトがメモリ内で暗号化されたシェルコードをデコードして実行し、MIMICRAT を配布します。

MIMICRAT の通信

MIMICRAT は HTTPS を使用して C2 サーバーと通信し、プロセスやファイルシステムの制御、インタラクティブシェルアクセス、トークン操作、シェルコード注入、SOCKS プロキシチューニングなど、24種類以上のコマンドをサポートします。

攻撃の目的

このキャンペーンは17の言語に対応しており、罠コンテンツが被害者のブラウザ設定に基づいて動的にローカライズされるため、広範囲にわたるターゲットを対象としています。

結論

この攻撃の最終目的はランサムウェアの配布やデータ漏洩であると推測されています。企業はこのような脅威に対抗するために、最新のセキュリティ対策を講じる必要があります。

---

元記事: https://thehackernews.com/2026/02/clickfix-campaign-abuses-compromised.html