あなたをだます新型ClickFix 不正コードをPNG画像に隠す：セキュリティニュースアラート

Huntressは新たなClickFix攻撃を確認した。偽画面でユーザーに操作を促し、mshtaとPowerShellを経由して.NETローダーを展開する。最終段階ではPNG画像内に隠されたコードが抽出され、インフォスティーラーが実行される。

[後藤大地，ITmedia]

　Huntressは2025年11月24日（現地時間）、「ClickFix」を起点とした多段階マルウェア感染の分析結果を公開した。ClickFixは偽のエラーメッセージなどを表示させ、ユーザーにPowerShellなどのスクリプトを実行させた後にインフォスティーラーを仕込む手法だ。

　この事例では、利用者に特定の操作を促す誘導ページから実行連鎖が始まり、最終的にインフォスティーラー「LummaC2」や「Rhadamanthys」が展開された。特徴的なのは最終段階の不正コードがPNG画像の画素情報内部に秘匿される点であり、単なるファイル結合ではなく色成分を利用した復元処理が実行されるという。

進化するClickFix　画像内部に不正コードを隠す

　ClickFixは従来、「CAPTCHA」を装った偽の画面が使われてきたが、最近の事例では全画面表示の「Windows」更新画面を模倣した表示が確認された。進捗（しんちょく）表示や演出が実在の更新処理に近く、終了後に実行操作を求める流れが組み込まれている。

　初期段階において、WebページのJavaScriptが暗号化された状態で配置され、閲覧時に復号されて実行される。復号後のコードは一時的なメモリ領域に配置され、利用者のクリップボードに特定の「mshta」コマンドを書き込む。これによって検知を避けつつ、次段階への移行が成立する。

　次の段階では「mshta.exe」経由でPowerShellが起動され、不要な処理を大量に含むスクリプトの中から.NETアセンブリが復号される。このアセンブリはメモリで読み込まれ、反射的に実行される設計だ。変数名や制御構造は解析を困難にする形で構成されている。

　そのままサイバー攻撃が進行すると、ローダーとなる.NETコードが内部リソースから暗号化されたPNG画像を取り出す。画像はAESで復号された後、独自の手法によって画素の赤成分からシェルコードが抽出される。このデータは別プロセスに注入され、実行される仕組みだ。

　最終的に展開されるペイロードは「Donut」で包装された形式であり、解析結果からLummaC2や別系列のインフォスティーラーが確認された。視覚的な誘導内容が異なっても実行経路は共通しており、利用者の操作を前提とする点が共通項だ。防御には利用者教育と実行環境の制御が不可欠となる。