2024年に悪用例が報告されたClickFix(クリックフィックス)と呼称されるソーシャルエンジニアリングの手口について、その後も複数の脅威アクターによる採用や攻撃事例の報告が相次いでいます。ここでは関連する情報をまとめます。
ClickFixとは何か
- ClickFixは閲覧者に対して、偽のCAPTCHA画面などを通じて攻撃者の用意したPowershellなどのスクリプトを閲覧者自身に実行させ、マルウエアをダウンロード、実行させるソーシャルエンジニアリング手口。
- ClickFixに誘導されるケースは、マルバタイジング、SEOポイゾニングにより攻撃者の用意したサイトへ誘導される他、電子メールに添付されたHTMLファイルや正規のWebサイトを改ざんして行われるなど、様々な事例報告がある。また複数のキャンペーン等で悪用されている手口であるため、実行後感染するマルウエアも、RATやインフォスティーラー、コインマイナー、ボットと多種が確認されている。
- この手口の存在が初めて報告されたのは2024年4月。また遅くとも2023年8月頃に悪用を確認したとする報告がある。発見当初は悪用する脅威アクターも限定的であったが、複数のマルウエア配布キャンペーンやAPTアクター関与の事案においても同様の手口で攻撃が行われる報告がその後も続いている状況で、2024年以降にClickFixによる攻撃との関連がみられるホスト数は増加傾向にある。
Since August 2024, #ClickFix has been rising in popularity and was deployed across various campaigns. By mimicking well-known interfaces, this technique appears legitimate to victims and trick them into taking actions that lead to infection. #ThreatIntel #Trend #Infostealer pic.twitter.com/uFn5m4DQcK
— Group-IB Threat Intelligence (@GroupIB_TI) 2025年3月13日
Proofpointが確認したClickFixキャンペーンの量(同社分析記事より)
3つのステップで 問題修正 マルウエア感染
- 攻撃者の用意した偽画面は、画面を閲覧した人に問題の解決をさせようと促させる表記が行われている。偽画面の種類は多様で、CAPTCHAのほか、ブラウザ、そしてGoogle Meet、Facebook、Booking.comなどのサービス、またWordやExcel、PDFビューワーなどのオフィスソフトのエラーメッセージに似せたものが報告例としてある。
- 画面上には問題解決のためとして、閲覧者に対し次の手順で対応をとるよう説明が書かれている例が多い。Windowsを想定されたものであった場合、① Windowsキー+Rボタンを押下、②コントロールキーとVボタンを押下、最後に③ エンターキーを押下するよう求めるもの。(同手口を応用したmacOSを対象とした事例の報告もある。)
- 当該説明を行う画面にアクセスした際、自動的に攻撃者の用意したマルウエアをダウンロード・実行するスクリプトが利用者環境のクリップボードにコピーされており、手順①で呼び出した「ファイル名を指定して実行」において、②でコピーさせ③で閲覧者自身に攻撃スクリプトを実行させる。
- 事例として掲載されている偽メッセージの大半は英語表記だが、日本語の事例を含め、特定国・地域向けに翻訳がされたとみられるコンテンツ事例についても報告されている。*1 *2
- コピーされる悪性スクリプトの末尾に「 ✅ ''Verify you are human - Ray Verification ID: 6450''」などの無害な文字列がコメントとしてつけられているケースがある。これは閲覧者が実行する際に、ダイアログ上で何らかの処理が行われるといった違和感を察知されないようにするためとみられる。
- Windowsの場合、グループポリシーによる実行制限を行うことで、Windowsキー+Rボタンによる実行を抑止可能とセキュリティジャーナリストのKrebs氏は自身の記事において対策を紹介している。*3
これまで報告のあった悪用例
| 報告時期 | 概要 | 関連アクター | 感染マルウエア等 |
|---|---|---|---|
| 2024年4月28日 | インフォスティーラーに感染させるClickFixによる攻撃を確認したとする内容をXに投稿。(Unit 42) | 記載なし | Lumma Stealer |
| 2024年6月29日 | アクセスブローカーにより2024年3月頃よりメールに添付されたHTMLファイルを通じてClickFixに誘導する事例を確認したと報告。またブラウザの偽エラー画面を使った事例も報告された。(Proofpoint) | TA571 ClearFake |
Lumma Stealer Amadey |
| 2024年9月19日 | Lumma Stealerを拡散する手口としてClickFixによる攻撃が多数存在するとして報告。(CloudSEK) | 記載なし | Lumma Stealer |
| 2024年10月25日 | Googleスプレッドシートに似せたURLよりClickFixの画面へ誘導されるAPTによるものとされるフィッシング事例を報告。(CERT-UA) | APT28(UAC-0001) | metasploit |
| 2024年10月17日 | 侵害したWordpressサイトに対し、ClickFixに誘導するプラグインを攻撃者が追加する事例を報告。6,000サイト以上に影響が及んだ可能性について指摘。(GoDaddy) | 記載なし | Vidar Stealer Lumma Stealer |
| 2024年10月17日 | Windows、macOS双方を狙ったClickFixのキャンペーンについて報告。またGoogle Meetingを模した事例についても報告。(Sekoia) | Slavic Nation Empire Scamquerteo |
Matanbuchus DarkGate NetSupport RAT AMOS Stealer |
| 2024年11月18日 | Githubからの偽セキュリティ警告を使ったClickFixの事例を報告。またスイスの組織を狙ったドイツ語の事例やChatGPTの不正広告から誘導される事例、を確認したことも報告。(Proofpoint) | キャンペーンの多くを既知アクターと紐づけできず。 | AsyncRAT PureLog Stealer XWorm Danabot DarkGate Lumma Stealer NetSupport RAT |
| 2024年12月17日 | GoogleやCloudflareなどの主要なCAPTCHA画面を似せたClickFixによる攻撃を観測したとする報告。(reliaQuest) | 記載なし | Lumma Stealer StealC NetSupport RAT Amadey |
| 2025年1月31日 | Google広告を介したClickFixによる攻撃事例を確認したとする報告。GoogleでNotionを検索し誘導される例を紹介。(MalwareBytes) | 記載なし | DarkGate |
| 2025年2月10日 | deepseekを模した偽サイトを通じて、ClickFixの事例を確認したと報告。(CloudSEK) | 記載なし | Vidar Stealer |
| 2025年2月20日 | deepseekを模した偽サイトを通じて、当該ソフトをインストールする手順としてターミナルを開かせスクリプトの実行を行わせる。(eSENTIRE) | 記載なし | AMOS Stealer |
| 2025年3月3日 | メールに添付されたHTMLファイルを通じてClickFixに誘導する事例について報告。Microsoft Graph APIを用いてC2を隠ぺいする手法も取られていた。(Foritnet) | 記載なし | Havac Demon Agent |
| 2025年3月3日 | 医療分野を狙った攻撃として、理学療法ビデオサイト(HEP2go)が侵害され、偽CAPTCHA画面にリダイレクトされる事例を報告。(ArcticWolf) | 記載なし | 何らかのInfostealer |
| 2025年3月13日 | APTアクターによる攻撃例について報告。また2023年11月頃にはCloudflareをルアーにした同種手口による攻撃が行われていたとして初期観測時期についても触れている。(Group-IB) | MuddyWater | 攻撃者のRMM |
| 2025年3月13日 | ホスピタリティ業界を狙ったClickFixのキャンペーン事例を報告。メールよりBooking.comを模した偽CAPTCHA画面に誘導される。(Microsoft) | Storm-1865 | Danabot NetSupport RAT AsyncRAT Lumma stealer |
更新履歴
- 2025年3月27日 AM 新規作成
*1:ClickFix: The Social Engineering Technique Hackers Use to Manipulate Victims,Group-IB,2025年3月13日
*2:偽のエラーメッセージや偽のキャプチャ画面などを使ったソーシャルエンジニアリングについて,@masaomi346,2025年2月10日
*3:ClickFix: How to Infect Your PC in Three Easy Steps,KrebsOnSecurity,2025年3月14日
