概要

アトスの研究者は、人気のあるClickFix手法の新しい変種を特定しました。この変種では、攻撃者はユーザーに自身のデバイスで悪意のあるコマンドを実行するよう誘導します。具体的には、Win + Rショートカットを使用して「net use」コマンドを実行し、外部サーバーからネットワークドライブをマップします。その後、そのドライブ上にホストされている.cmdバッチファイルが実行されます。

攻撃の概要

この攻撃の初期ベクターは、キャプチャメカニズムを装ったウェブページです。攻撃者はユーザーに「Win+R」を押すよう促し、その後「Ctrl+V」と「Enter」を押すよう指示します。

攻撃の詳細

攻撃者は「net use」コマンドを使用して外部サーバーのネットワークドライブをマップし、そのドライブ上のバッチファイルを実行します。この手法は従来のものとは異なり、PowerShellやmshtaを用いたダウンロードや実行とは異なります。

攻撃のステージ

• 初期ステージ：攻撃者は「happyglamper[.]ro」というウェブサイトを用いてユーザーを誘導します。
• 中間ステージ：「net use」コマンドを使用してネットワークドライブをマップし、そのドライブ上の「update.cmd」ファイルを実行します。
• 最終ステージ：「update.cmd」ファイルはZIPアーカイブをダウンロードし、それを展開して「WorkFlowy.exe」を実行します。

WorkFlowyの分析

「WorkFlowy.exe」は、開発者「FunRoutine Inc.」によって署名された正規のアプリケーションですが、攻撃者はこのアプリケーションの古いバージョンを再パッケージ化し、悪意のあるコードを追加しました。

攻撃の技術的プロファイル

• ターゲットアプリケーション：WorkFlowy Desktop (Electron)
• 悪意のあるバージョン：1.4.1050
• C2ドメイン：cloudflare.report/forever/e/
• C2オリジンIP：144[.]31[.]165[.]173 (フランクフルト)

攻撃の特徴

攻撃者は、悪意のあるコードを「app.asar」アーカイブ内に隠し、正規のアプリケーションの起動時に悪意のあるコードが実行されるようにしています。この手法は、従来のEDRソリューションによる検出を避けることができます。

重要なポイント

• 攻撃者は、PowerShellやmshtaなどのよく使われるスクリプトエンジンや実行エンジンを避けています。
• 攻撃者は、WebDAVを悪用してファイルを配布しています。
• 攻撃者は、正規のアプリケーションの起動時に悪意のあるコードを実行するようにしています。

結論

この新しいClickFix変種は、従来のEDRソリューションを回避するための新たな手法を示しています。攻撃者は、WebDAVを悪用してファイルを配布し、正規のアプリケーションの起動時に悪意のあるコードを実行するようにしています。

---

元記事: https://thehackernews.com/2026/03/investigating-new-click-fix-variant.html