Source: https://thehackernews.com/2025/09/new-filefix-variant-delivers-stealc.html
🛡 概要
サイバーセキュリティ研究者は、FileFixのバリアントを利用した新たな攻撃キャンペーンについて警告しています。この攻撃は、StealC情報盗難マルウェアを配信するために、非常に説得力のある多言語のフィッシングサイトを使用しています。このフィッシングサイトは、偽のFacebookセキュリティページとして設計されており、分析を回避するための高度な難読化技術や対分析技術を使用しています。攻撃の流れは、ユーザーを引き込むためにFileFixを利用し、最初のペイロードを起動させ、その後、Bitbucketリポジトリから悪意のあるコンポーネントを含む無害な画像をダウンロードさせるというものです。
🔍 技術詳細
FileFixは、2025年にmrd0xによって概念実証として最初に文書化され、ClickFixとは異なり、ユーザーがWindowsの実行ダイアログを起動して、コピーされた難読化されたコマンドを貼り付ける必要がありません。代わりに、ウェブブラウザのファイルアップロード機能を利用し、ユーザーを欺いてファイルエクスプローラーのアドレスバーにコマンドをコピー&ペーストさせ、ローカルで実行させます。この攻撃は、Facebookアカウントの停止を警告するメールからリダイレクトされるフィッシングサイトから始まります。ユーザーは、決定に異議を唱えるためにボタンをクリックするよう求められます。ボタンをクリックすると、ユーザーはPDF版のポリシー違反にアクセスするためのパスをコピー&ペーストするよう指示されます。このパスは一見無害に見えますが、実際には悪意のあるコマンドがコピーされており、ファイルエクスプローラーに貼り付けると見かけ上のファイルパスだけが表示されます。このコマンドは、多段階のPowerShellスクリプトで、前述の画像をダウンロードし、次のステージのペイロードにデコードし、最終的にStealCを起動するシェルコードを展開するGoベースのローダーを実行します。
⚠ 影響
このFileFix攻撃は、ユーザーが悪意のあるプログラムを知らずに実行してしまう可能性が高く、セキュリティ対策を回避するために巧妙に設計されています。特に、悪用されるブラウザの機能は、システム管理者によってブロックされることが少ないため、攻撃者にとっては特に有利な状況です。攻撃者は、フィッシングインフラストラクチャ、ペイロード配信、サポート要素を慎重に設計することで、回避能力と影響力を最大化しています。Doppelが報告した別のキャンペーンでは、偽のサポートポータルやCloudflare CAPTCHAエラーページを利用し、クリップボードハイジャックを行い、被害者に悪意のあるPowerShellコードを実行させる手法が見られました。
🛠 対策
このような攻撃に対抗するためには、ユーザー教育が不可欠です。フィッシングメールや不審なリンクをクリックしないように注意を促すことが重要です。また、セキュリティソフトウェアを最新の状態に保ち、フィッシングサイトを検出する機能を有効にすることが推奨されます。さらに、ブラウザの設定を見直し、不要な拡張機能を削除することで、攻撃のリスクを軽減できます。組織内では、定期的なセキュリティトレーニングを実施し、従業員が最新の脅威について認識し、適切に対処できるようにすることが重要です。
