New FileFix Method Emerges as a Threat Following 517% Rise in ClickFix Attacks
2025/06/26 TheHackerNews — ClickFix ソーシャル・エンジニアリング戦術は、偽の CAPTCHA 認証を用いるイニシャル・アクセス経路にあり、その攻撃件数は 2024年後半〜2025年前半で 517% も増加したと、ESET のデータが示している。ESET の Director of Threat Prevention Labs である Jiri Kropac は、「ClickFix 攻撃が引き起こす脅威のバリエーションは、日々拡大している。その内訳としては、インフォスティーラー/ランサムウェア/RAT/クリプトマイナー/ポストエクスプロイト・ツールに加えて、国家と連携する APT によるカスタム・マルウェアまでが含まれる」と述べている。
ClickFix がルアーとして用いるのは、偽のエラー・メッセージや CAPTCHA 認証チェックである。例を挙げると、Windows の “Run dialog” や Apple macOS の “Terminal app” などで、悪意のスクリプトのコピー&ペーストと実行へと誘導する、広く普及している欺瞞的な手法などがある。
スロバキアのサイバー・セキュリティ企業 ESET によると、ClickFix の検出件数が最も集中しているのは、日本/ペルー/ポーランド/スペイン/スロバキアなどになる。
この攻撃手法の普及と有効性から、この脅威アクターは ClickFix を悪用するランディング・ページを、他の攻撃者に対して提供するビルダーを宣伝するようになっていると、ESET は付け加えている。
ClickFix から・・・ FileFix へ・・・
そして、いま、セキュリティ研究者 mrd0x が、ClickFix の PoC 代替策である FileFix 実証している。この FileFix は、ユーザーを騙してWindows File Explorer にファイルパスをコピー&ペーストさせることで動作する。
この手法により、基本的に ClickFix と同じ機能が実現されるが、File Explorer のアドレスバーから OS コマンドを実行する機能と、Web ブラウザのファイル・アップロード機能の組み合わせで達成される。
この研究者が考案した攻撃シナリオで、脅威アクターが被害者に伝えるのは、偽の CAPTCHA チェックを表示する代わりに、ドキュメントが共有されたことである。したがって、メッセージ表示のためのフィッシング・ページを作成し、[Ctrl + L] キーの押下と、アドレスバーへのファイルパスのコピー&ペーストが必要であると伝えている。
このフィッシング・ページには、”Open File Explorer” という目立つボタンも取り込まれており、それをクリックすると File Explorer が開き、悪意のある PowerShell コマンドがユーザーのクリップボードにコピーされる。したがって、被害者が “File Path” を貼り付けると、その代わりに、攻撃者のコマンドが実行される。
この仕組みは、コピーしたファイルパスを変更し、その前頭に PowerShell コマンドを追加することで実現される。さらに、その後にスペースを追加してコマンドの非表示化を図り、ポンド記号 “#” を追加して偽のファイルパスをコメントとして扱うようにしている。
“Powershell.exe -c ping example.com# C:\\decoy.doc”
mrd0x は、「この PowerShellコマンドでは、コメントの後にダミー・ファイルパスを連結することでコマンドを非表示にし、その代わりにファイルパスを表示する」と述べている。
フィッシング・キャンペーンが急増中
この数週間で発見された、様々なフィッシング・キャンペーンと、ClickFix キャンペーンの急増は一致している。その具体例としては、以下のものがある:
- “.gov” ドメインを利用して、未払いの通行料金請求を装うフィッシング・メールを送信し、ユーザーをフェイク・ページへと誘導し、個人情報や金融情報を収集する。
- 戦略的ドメイン・エージングと呼ばれる手法 LLD (long-lived domains) を介して、カスタム CAPTCHA チェックページへとユーザーをリダイレクトする。そこで CAPTCHA チェックを完了したユーザーは、偽装された Microsoft Teams ページへと誘導され、Microsoft アカウントの認証情報が盗まれる。
- 悪意の Windows ショートカット (LNK) ファイルを埋め込んだ、ZIP アーカイブを配布し、Remcos RAT を展開するための PowerShell コードを起動する。
- メール・ボックスの残容量の不足と、ストレージ・クリアの必要性をユーザーに警告するルアーを介して、そのメッセージに埋め込まれたボタンをクリックさせ、フィッシング・サイトへとユーザーを誘導する。 IPFS 上にホストされた、この種のページで、ユーザーのメール認証情報が盗まれる。興味深いことに、これらのメールには RAR アーカイブの添付ファイルも含まれており、それを解凍して実行すると、XWorm マルウェアがドロップされる仕組みとなっている。
- PDF 文書に埋め込まれた URL から、別の URL へとリンクが張られ、最終的に ZIP アーカイブがドロップされる。その ZIP アーカイブには、AutoIT ベースの Lumma Stealer を起動するための実行ファイルが取り込まれている。
- Vercel と呼ばれる正規のフロントエンド・プラットフォームを悪用し、LogMeIn の悪意のバージョンを拡散する偽サイトをホストし、そこで騙した被害者のマシンを完全に制御する。
- 米国各州の運輸局 (DMV:Departments of Motor Vehicles) を装い、未払いの通行料違反に関する SMS メッセージを送信し、個人情報やクレジットカード情報を盗む偽サイトへと、受信者をリダイレクトする。
- SharePoint をテーマにしたメールを用いて、”*.sharepoint[.]com” ドメインにホストされた認証情報収集ページへとユーザーをリダイレクトし、ユーザーの Microsoft アカウントのパスワードを盗み出す。
CyberProof は、「SharePoint リンクを含むメールの場合には、悪意のメールやフィッシング・メールとしてフラグ付けされる可能性が低くなり、EDR /AV 対策ソフトウェアによるチェックをすり抜けやすくなる。また、Microsoft リンクは本質的に安全だと、多くのユーザーは信じているため、疑念を抱き難くなる傾向がある」と述べている。
同社は、「この種のフィッシング・ページは SharePoint 上でホストされているため、動的であることが多く、アクセスできるのは特定のリンクに限られ、そのアクセス期間も限定されている。そのため、自動クローラー/スキャナー/サンドボックスによる検出が困難になる」と付け加えている。
いま話題の ClickFix ですが、 この記事が紹介するように、偽の CAPTCHA 画面などをもしいてユーザーを騙し、不正な操作をさせるという攻撃手法で有名です。印象的なのは、見た目が普通の操作であっても、その裏側では攻撃が進んでいるという点です。このところ、ClickFix に関する記事が多いと感じていましたが、その理由も分かりますね。よろしければ、ClickFix で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.