「ClickFix」攻撃の概要
Huntress社のサイバーセキュリティ研究者らは、「ClickFix」と呼ばれる巧妙なキャンペーンを発見しました。この攻撃は、ステガノグラフィ技術を悪用し、悪意のあるコードをPNG画像ファイル内に隠蔽します。これらの画像は、偽のWindows Update画面に偽装され、ユーザーを騙してマルウェアを実行させます。
攻撃チェーンでは、LummaC2やRhadamanthysといった複数の情報窃取型マルウェアが配信されます。手口は、ソーシャルエンジニアリングによってユーザーを欺き、Windowsの「ファイル名を指定して実行」(Win+R)プロンプトを通じて特定のコマンドを実行させるというものです。ClickFixは、ユーザーが慣れ親しんだWindowsインターフェースの要素への信頼を悪用する、サイバー犯罪の新たな脅威ベクトルを表しています。
巧妙な多段階攻撃の仕組み
この攻撃は、検出を回避するために5つの明確な段階を経て展開されます。攻撃の始まりは、本物そっくりの「アップデートを準備しています」アニメーションを表示する、全画面表示の偽Windows Update画面です。偽のアップデートが完了すると、ユーザーはWin+Rで「ファイル名を指定して実行」プロンプトを開き、クリップボードにコピーされたコマンドをCtrl+Vで貼り付けて実行するよう促されます。
- 第1段階:
mshta.exeを利用してJScriptコードを実行し、リモートサーバーからPowerShellローダーをダウンロードします。 - 第2段階: 大量のジャンクコードを含むPowerShellローダーが実行されます。この難読化されたコードの裏には、動的に復号される.NETアセンブリが隠されており、これが攻撃の基盤を確立します。
- 第3段階: ステガノグラフィローダーが導入されます。これは、暗号化されたPNG画像ファイル内に隠されたシェルコードを抽出する.NETアセンブリです。攻撃者は、ファイルの末尾に悪意のあるデータを追加するのではなく、特定のカラーチャンネルを使用してPNG画像のピクセルデータに直接実行可能コードをエンコードします。
ステガノグラフィによるマルウェア隠蔽
カスタムのステガノグラフィアルゴリズムは、BGRAピクセルデータの赤チャネルを標的とします。赤チャネルのバイトと計算された値をXOR演算することで、シェルコードを抽出します。このアプローチは、マルウェア配信における技術的な大きな進化を意味します。ペイロードデータを正当に見える画像ファイル内に埋め込むことで、攻撃者は従来のファイル署名検出を回避し、フォレンジック分析を困難にします。
シェルコードの抽出プロセスには、システムメモリを介してビットマップの生ピクセルデータにアクセスし、行パディングを考慮したストライドオフセットを計算し、個々のカラーチャネルから暗号化されたペイロードをバイトごとに再構築する作業が含まれます。
最終ペイロードと攻撃の痕跡
抽出されたシェルコードは、第4段階の.NETアセンブリによってexplorer.exeプロセスに注入されます。この段階では、実行時にC#ソースコードが動的にコンパイルされ、ターゲットプロセス内に実行可能なメモリが割り当てられ、注入されたペイロードを実行するためのリモートスレッドが作成されます。最終段階のシェルコードは、脅威アクターによって頻繁に悪用される正規のシェルコードパッカーであるDonutを使用してパックされています。分析により、展開された最終ペイロードがキャンペーンのバリアントに応じてLummaC2またはRhadamanthysのいずれかの情報窃取型マルウェアであることが明らかになりました。
2025年10月上旬以降、Huntress社は、初期のMSHTAステージとPowerShellローダーの両方をホストするIPアドレス「141.98.80.175」に関連する複数の攻撃クラスターを追跡しています。注目すべきは、脅威アクターが文字列ベースの検出を回避するために、mshtaコマンドでIPアドレスのオクテットを16進数でエンコード(例: 141.0x62.80.175)している点です。本キャンペーンは、Rhadamanthysのインフラを標的とした2025年11月の「Operation Endgame」法執行機関によるテイクダウンにもかかわらず継続しています。
組織が取るべき対策
組織は、ClickFixのソーシャルエンジニアリング戦術を特定するためのユーザー意識向上訓練を優先すべきです。技術的な対策としては、以下の点が挙げられます。
- レジストリまたはグループポリシーを介してWindowsの「ファイル名を指定して実行」プロンプトをオフにする。
mshta.exeの実行を制限するためのアプリケーションホワイトリストを実装する。- 疑わしい.NETアセンブリのロードパターンを監視する。
エンドポイント検出および対応(EDR)ソリューションは、動的コードコンパイルおよびリフレクティブアセンブリロード技術の検出に焦点を当てるべきです。本キャンペーンは、ステガノグラフィ、多段階実行チェーン、ソーシャルエンジニアリングが組み合わさることで、従来のセキュリティ防御に挑戦する強力な脅威がいかに形成されるかを示しています。