New Clickfix Exploit Tricks Users into Changing DNS Settings for Malware Installation
2026/02/14 CyberSecurityNews — ClickFix ソーシャル・エンジニアリング・キャンペーンに、カスタム DNS ハイジャック技術を用いてマルウェアを配布するという進化が確認された。この攻撃手法は、悪意のコマンドをユーザーに実行させ、DNS ルックアップを悪用して感染の次段階を取得するものである。それにより従来の検知手法を回避すると同時に、通常のネットワーク・トラフィックに紛れ込むことを可能にする。
ClickFix 攻撃は、侵害済みの Web サイト上に表示される、偽 CAPTCHA プロンプトや問題修正の通知といった偽エラー・メッセージを通じてユーザーを欺くものだ。それらに誘導された被害者は、特定のスクリプトをクリップボードへコピーし、”ファイル名を指定して実行” ダイアログや、PowerShell などの CLI インターフェイスに貼り付けて実行するよう仕向けられる。
ClickFix の初期の亜種である CrashFix などが、偽ブラウザ・クラッシュを用いて緊急性を演出していたのに対して、この最新の亜種は Domain Name System を悪用する技術的な回避戦略に焦点を当てるものだ。被害者が 1 段階目の悪意のコマンドを貼り付けて実行すると、スクリプトにより “cmd.exe” が悪用され、システムの既定の DNS リゾルバではなく、攻撃者が制御する外部サーバに対する DNS ルックアップが実行される。
続いて、このスクリプトはリクエストの出力を解析し、DNS レスポンス内の “Name:” フィールドを抽出/フィルタリングする。当該フィールドには、正規のサーバ名は含まれず、第 2 段階ペイロードのコードが格納されているため、被害者の端末上での即座の実行へと至る。この手法により、DNS は軽量なステージング・チャネルへと変換される。攻撃者は重いマルウェア・コンポーネントを配布する前に、標的がアクティブであることを検証できるようになる。
さらに、あらゆるネットワークで常時発生する DNS トラフィックであるため、Command and Control (C2) を利用する悪意の活動は、検知を回避しやすくなる。Microsoft Defender の研究者によると、第 2 段階が DNS 応答によりトリガーされると、攻撃チェーンはポータブル Python バンドルを含む ZIP ファイルをダウンロードする。その後に、悪意の Python スクリプトが実行され、ホスト情報およびドメイン情報の偵察が実施されるという。
侵害済み端末へのアクセスを維持するために、このマルウェアは VBScript ファイルをドロップし、Windows の Startup フォルダに “MonitoringService.lnk” というショートカットを作成することで永続化を確立する。このキャンペーンで最終的に配布されるペイロードは、ModeloRAT と特定された Remote Access Trojan (RAT) である。Microsoft Defender Antivirus は “Trojan:Win32/ClickFix.R!ml” シグネチャの下でこの活動を検出/ブロックする。
Web サイト上の偽エラーをきっかけに、ユーザー自身にコマンドを実行させ、さらに DNS 通信を悪用してマルウェアを送り込むという、ClickFix の進化版について解説する記事です。この攻撃の巧妙な点は、インターネットの住所録の役割を果たす DNS の仕組みを悪用するところにあります。実行されたスクリプトは、攻撃者が用意するサーバへ DNS 照会を行い、そのレスポンス内の “Name” フィールドに隠された次段階の悪意のコードを読み取って実行します。
特定のソフトのバグを突く攻撃ではなく、ユーザーの心理的な隙と “DNS 通信は常に許可されている” というネットワークの特性を突く攻撃です。この手法により、通常の Web 閲覧トラフィックに紛れ込みながら検知を巧みに回避し、最終的に ModeloRAT というマルウェアに感染させます。感染すると、Windowsのスタートアップ・フォルダに偽のサービスが登録され、PC を再起動しても攻撃者からの支配が続く状態になります。よろしければ、ClickFix での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.