マイクロソフトによる最近の悪意のある電子メールの添付ファイルの取り締まりを受けて、サイバー犯罪者は急速に新しい回避手法に移行しています。 Outlook がインライン スケーラブル ベクター グラフィックス (SVG) ファイルのブロックを開始してからわずか数週間後、攻撃者は現在、ステガノグラフィーとして知られる手法であるポータブル ネットワーク グラフィックス (PNG) 画像のピクセル データ内にマルウェアを隠しています。
ハントレスのセキュリティ研究者は、この変化がソーシャル エンジニアリングを使用してブラウザ保護をバイパスする、より広範な「ClickFix」キャンペーンの一環であると特定しました。一見無害に見える画像の特定のカラー チャネル内に暗号化されたコードを埋め込むことで、攻撃者はスクリプト ベースの脅威をスキャンする標準の検出ツールを回避できます。
今月初めにボットネット インフラストラクチャを対象とした連携した法執行活動である「オペレーション エンドゲーム」にもかかわらず、このキャンペーンは引き続き活発に行われています。新しい PNG ベースのルアーをホストするアクティブなドメインは Rhadamanthys infostealer の配布を続けており、削除の取り組みに対するグループの回復力を示唆しています。
スクリプトからピクセル: ステガノグラフィーの変化
攻撃者は、ピクセルベースの PNG ステガノグラフィーを支持して、XML ベースの SVG スクリプトを放棄または補完しています。この戦術的な変更は、フィッシング対策として Outlook でインライン SVG 画像をブロックするという Microsoft の 10 月の決定と直接関係しています。
フィルターによって簡単にフラグが付けられるテキストベースのスクリプトに依存する SVG とは異なり、新しい方法は画像自体のビジュアル データ内に悪意のあるコードを隠します。
カスタム アルゴリズムを採用するローダーは、標準の画像データ構造を再利用してペイロードを隠します。新しいペイロード配信システムの仕組みについて、Huntress の研究者である Ben Folland 氏と Anna Pham 氏は、アンナ ファム氏は、「悪意のあるコードは PNG 画像のピクセル データ内に直接エンコードされており、特定のカラー チャネルを利用してペイロードを再構成し復号化している」と説明しています。
抽出されると、ペイロードはメモリ内で復号化され、ディスクベースの検出メカニズムがバイパスされます。このようなメモリのみの実行パスは、主にディスクへのファイルの書き込みを監視するエンドポイント検出および応答 (EDR) システムに対して特に効果的です。
悪意のあるコードを一時的かつ揮発性に保つことで、攻撃者はフォレンジック キャプチャの時間を大幅に短縮します。ハントレスの研究者は、この手法によってもたらされる法医学的課題を強調し、「分析中の注目すべき発見は、画像内のマルウェアの最終段階を隠すためにキャンペーンがステガノグラフィーを使用したことだった。」
最後に、.NET アセンブリが反射的にロードされて、ペイロードを「explorer.exe」に挿入します。
「ClickFix」の罠: ユーザーを武器化する信頼
この攻撃は、「ClickFix」と呼ばれる手法を利用し、正規の Windows エラーまたは更新画面を模倣します。被害者には、停止または失敗したように見える偽の「Windows Update」インターフェイスが表示されます。問題を「修正」するには、ユーザーは Windows の [ファイル名を指定して実行] ダイアログ (Win+R) を開いてコマンドを貼り付けるように指示されます。
技術的エクスプロイトを完全に回避するこの手法は、ユーザーの行動におけるローテクの抜け穴を利用します。 Huntress の研究者は、このエクスプロイトへの参入障壁が低いことを強調し、このアプローチの単純さを強調しています。
ルアー ページに埋め込まれた JavaScript により、クリップボードに悪意のあるコマンドが自動的に入力されます。このような戦術は、SmartScreen などのブラウザ セキュリティ制御を回避します。通常、悪意のあるダウンロードにはフラグを立てますが、手動によるコマンドの実行はフラグを立てません。
この特定のベクトルを軽減するには、管理者は次のコマンドを使用して、レジストリの変更によって [実行] ボックスを無効にできます。
reg add”HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”/v NoRun/t REG_DWORD/d 1/f
手動ユーザー入力への依存により、これは Windows の技術的な脆弱性ではなく、「人間中心の」エクスプロイトとしてマークされます。
技術的な内訳: ローダー内部
感染を開始し、 「mshta.exe」コマンドは、「実行」ボックスから実行されます。このコマンドはリモート HTA ファイルを取得し、PowerShell スクリプトを実行します。実行すると、スクリプトは復号化され、.NET アセンブリをメモリに直接ロードします。 Huntress の技術分析では、その後の読み込みプロセスについて詳しく説明しています。
「第 3 段階の.NET アセンブリは、埋め込まれた暗号化された PNG ファイル内にステガノグラフィーを使用してシェルコードとして保存される第 4 段階のローダーとして機能します。」
「シェルコード インジェクションを容易にする C# コードも、.NET アセンブリ自体内に暗号化されて保存され、別の.NET アセンブリにコンパイルされ、実行時に反射的に読み込まれます。」
シェルコード生成ツールである Donut は、最終ペイロード (Rhadamanthys または LummaC2) を実行します。
分析の結果、リバース エンジニアリングの取り組みを挫折させるために、何千もの空の関数呼び出しを含む「トランポリン」コードが使用されていることが判明しました。反射読み込みにより、マルウェアはほぼ完全にメモリ内で動作し、ディスク上に最小限のフォレンジック痕跡が残ります。
「オペレーション エンドゲーム」に対する回復力
注目を集めた オペレーション エンドゲーム の削除にもかかわらず11月中旬現在もキャンペーンは継続中。 Huntress の研究者は、Windows Update の誘惑をホストしている複数のドメインがまだ動作していることを確認しました。
組織的な削除にもかかわらず、攻撃者は機能的な足場を維持しています。 Ben Folland と Anna Pham は、インフラストラクチャの生存を確認し、「11 月 19 日の時点で、複数のアクティブなドメインが…ラダマンティス キャンペーンに関連する Windows Update ルアー ページをホストし続けている」ことを観察しています。
最近の ESET データ は、 2025 年第 4 四半期には ClickFix 攻撃が 500% 急増し、この戦術がサイバー犯罪者の間で人気を博していることを示唆しています。分散化により、ボットネット インフラストラクチャは集中化された削除の試みに耐えることができます。
このような持続性は、最新の分散型マルウェア ネットワークに対する法執行機関の行動の限界を示しています。 SVG から PNG へ、およびある C2 サーバーから別の C2 サーバーへの迅速なピボットにより、高い運用アジリティが実証されます。
