Hackers Use ClickFix Lure to Drop Node.js-Based Windows RAT With Tor-Powered C2
2026/04/07 CyberSecurityNews — ClickFix ソーシャルエンジニアリングの新たな波が、Windows ユーザーを標的としている。この攻撃者は、偽のブラウザ検証ページを表示し、ユーザーに隠されたコマンドを実行させることで、Node.js ベースの Remote Access Trojan (RAT) を密かにシステムへ配置する。このマルウェアは、Tor ネットワークを介してオペレーターと通信してトラフィックを匿名化することで、攻撃インフラに対する追跡と遮断をきわめて困難にする。
2025年初頭に登場した ClickFix は 、LegionLoader や LummaStealer などの既知のマルウェアを配布する手法として使用されてきた。この手法は、偽の CAPTCHA や本人確認ページを表示し、クリップボードからコマンドをコピーして実行するよう、ユーザーを誘導することで成立する。
今回のキャンペーンでは、そのコマンドが base64 エンコードされた PowerShell スクリプトを実行し、不正ドメインから “NodeServer-Setup-Full.msi” をダウンロードし、ユーザーに気付かれない形でバックグラウンド・インストールを行う。
このキャンペーンを特定し追跡している Netskope Threat Labs の研究者たちは、従来の ClickFix 攻撃と比較して、全体的な設計がより高度化していると指摘している。
この RAT は、モジュール型 Node.js フレームワーク上に構築されており、危険な機能はディスクに保存されない。さらに、C2 サーバへの接続の確立後には、配信先がメモリ上だけに限定されるため、従来のセキュリティ・スキャンを容易に回避できる。
このキャンペーンの特徴は、その攻撃インフラにある。Malware-as-a-Service プラットフォームが構築されているため、それぞれのオペレーターによる標的ごとへの攻撃が可能になる。
このプラットフォームの運用上のミスにより、サーバ・サイドの管理パネルが露出した。そこで確認されたのは、暗号資産ウォレット追跡/ロールベースアクセス制御によるオペレーター管理/感染端末へのカスタムモジュール配信/新規感染時の Telegram 通知機能などである。
このマルウェアは、侵害端末の詳細なプロファイルを作成し、OS バージョン/ハードウェア情報/地理的位置/外部 IP/稼働中のセキュリティ・ツール一覧などを収集する。このフィンガープリンティングにより、攻撃者は価値の高い標的を選別する。
また、セキュリティ環境の検出については、CrowdStrike/Kaspersky/SentinelOne/Windows Defender などの 30 以上の製品が対象となっている。
感染の持続化と通信メカニズム
MSI インストーラの実行後に、このマルウェアは、”%LOCALAPPDATA%\LogicOptimizer\” ディレクトリへファイルを展開し、Windows レジストリ Run キーに永続化エントリを登録する。それにより、ユーザーがログインする度に、マルウェアが自動的に起動する。
このマルウェアは、”conhost.exe” をヘッドレス・モードで使用して Node.js を起動し、タスクバー/ウィンドウの表示を回避することで感染を隠蔽する。
続いて、C2 に接続する前に、AES-256-CBC と XOR を組み合わせた複数段階の復号処理を実行し、コンフィグ・データを展開する。暗号鍵は実行ごとに再生成されるため、静的解析による解析は困難になる。復号後のコンフィグには、”.onion” 形式の Tor 隠しサービス・アドレスが含まれている。
C2 サーバへの接続において、このマルウェアは公式 Tor Project サイトから Tor Expert Bundle をダウンロードし、ローカルに SOCKS5 プロキシを構築する。その後に、gRPC を使用して、感染端末と C2 間のリアルタイム双方向通信を確立する。
情報窃取のためのモジュールやコマンドは JavaScript 文字列として配信され、Node.js サンドボックス上でメモリ実行されるため、ディスクへの書き込みは発生しない。ウォッチドッグ・プロセスが接続状態を監視し、切断時には自動的に再接続される。
対応
セキュリティ・チームにとって必要なことは、Node.js と “conhost.exe” の異常なプロセス/不審な Tor 通信/レジストリ Run キーへの新規登録の監視である。
さらに、”.onion” ドメインへのアウトバウンド通信をブロックし、PowerShell による MSI のサイレント・ダウンロードを検知対象にするべきである。
ClickFix 攻撃は、ユーザーにコマンド実行を促すことから開始されるため、依然としてユーザー教育が重要な防御手段となる。
訳者後書:新たな ClickFix の手法は、偽のブラウザ検証ページ (CAPTCHA など) を悪用して、ユーザー自身に悪意のあるコマンドをコピー/実行させるというものです。この手口を用いる攻撃者は、技術的な隙を突くのではなく、人間の心理を巧みに操ることで、セキュリティ・ソフトによる検知を回避しながら侵入を開始します。侵入に成功した攻撃者は、Node.js ベースのマルウェアをメモリ上で動作させ、Tor ネットワークを介して匿名で通信を行うため、発見や追跡が非常に困難になります。また、MaaS プラットフォームが提供されているため、攻撃の頻度が高まり、範囲が拡大することが懸念されます。よろしければ、ClickFix での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.