LeakNet ランサムウェアの新戦略

レリアクエストは、LeakNet ランサムウェアがクリックフィックスというソーシャルエンジニアリング手法を採用し、ハッキングされたウェブサイトを通じて初期アクセスを獲得していると報告しました。この手法は、従来の方法（初期アクセスブローカー (IAB) からの盗難資格情報の使用など）とは異なり、ユーザーが存在しないエラーを修正するために悪意のあるコマンドを手動で実行するよう誘導します。

クリックフィックスの利点

クリックフィックスの採用は、LeakNet にとっていくつかの重要な利点をもたらします。主な利点は、サードパーティの供給業者への依存を減らし、被害者ごとの獲得コストを低減し、貴重なアカウントが市場に出回るのを待つ時間的なボトルネックを解消することです。

ステージ化されたコマンド＆コントロール (C2) ローダー

LeakNet は、Deno JavaScript ランタイムを使用したステージ化されたコマンド＆コントロール (C2) ローダーを展開しています。このローダーは、悪意のあるペイロードを直接メモリ上に実行します。これにより、ディスク上での痕跡を最小限に抑え、検出を回避することが可能になります。

攻撃の流れ

• ユーザーがハッキングされたサイトを通じて悪意のあるコマンドを実行
• ステージ化された C2 ローダーが実行され、悪意のある JavaScript ペイロードが直接メモリ上に実行される
• システムの指紋を取得し、外部サーバーから次のステージのマルウェアを取得
• ポーリングループを開始し、追加のコードを連続的に取得し実行する

後続の活動

LeakNet の後続の活動は一貫しています。DLL サイドローディングを使用して悪意のある DLL を起動し、PsExec を使用して側面移動を実行し、データのエクスフィラートレーションと暗号化を行います。

セキュリティ上の影響

レリアクエストは、LeakNet の初期アクセス能力の拡大と戦略的な変更を記録した最初の文書化された事例であると述べています。これにより、攻撃者はより速く、より広範囲に活動することが可能になりました。

まとめ

LeakNet の最新の戦略は、従来の手法とは異なる方法で初期アクセスを獲得し、ステージ化された C2 ローダーを使用して悪意のあるペイロードを直接メモリ上に実行することで、検出を回避し、被害者を攻撃する能力を高めています。

---

元記事: https://thehackernews.com/2026/03/leaknet-ransomware-uses-clickfix-via.html