CrashFixとは?ClickFix進化版の攻撃手口を解説
概要
CrashFixは、まず悪意ある拡張機能でブラウザーをクラッシュループに陥らせ、続いて偽の「修復」手順でユーザー自身にコマンドを実行させる、新しいClickFix系の攻撃手法です。正規ツールのfinger.exeをリネームして悪用し、PowerShellやPython RAT(ModeloRAT)を段階的に展開するため、従来のシグネチャベース検知を回避しやすく、特にドメイン参加済みの企業端末が狙われる点が重要です。
Securityでお困りですか?専門家に相談する
Introduction
ClickFix はこれまで、攻撃者が提示するコマンドをユーザーに実行させるソーシャル エンジニアリングに依存してきました。新しい CrashFix バリアントは、まず ユーザー体験を妨害(browser DoS/crash loop) し、その後で「修復」ワークフローを提示して被害者自身にコマンドを実行させることで成功率を高めています。これにより、エクスプロイトへの依存を減らしつつ秘匿性を向上させます。IT チームにとっては、ユーザー主導の実行 + LOLBins + スクリプト ペイロード が従来のシグネチャ中心の防御をすり抜け得るという、実務的な注意喚起になります。
What’s new in CrashFix (key behaviors)
1) Malicious extension with delayed sabotage
- 初期侵入は、ユーザーが広告ブロッカーを検索し、悪意のある広告をクリックすることから始まるケースが多く見られます。
- ユーザーは Chrome Web Store にリダイレクトされ、uBlock Origin Lite を装った拡張機能をインストールすることで、正当性があるかのように見せかけられます。
- 拡張機能は 遅延実行 を用い、ブラウザーの問題が後になって発生するようにすることで、ユーザーが症状と拡張機能のインストールを結び付けにくくします。
2) Browser crash loop + fake “CrashFix” prompt
- ペイロードは 無限ループ によってブラウザーの denial-of-service を引き起こし、その後 偽のセキュリティ警告/ポップアップ を表示します。
- ポップアップは、(例: Windows Run 経由で)コマンド実行をユーザーに促し、ユーザー自身を実行メカニズムとして利用します。
3) LOLBin abuse: finger.exe renamed and used as a loader
- 顕著な変更点として、正規の Windows ユーティリティ finger.exe の悪用があります。finger.exe は temp ロケーションにコピーされ、(例: ct.exe)のようにリネームされて検知を回避しようとします。
- リネームされたバイナリは外部へ接続し、難読化された段階的な PowerShell チェーンを取得して、ユーザー プロファイル配下へ追加ペイロードをドロップします。
4) Targeting logic: domain-joined systems get the backdoor
- PowerShell スクリプトは環境チェック(例: デバイスが domain-joined かどうか)を行い、分析ツールの有無も確認します。
- 価値の高い企業環境の条件が検出されると、portable WinPython distribution と Python RAT(Microsoft は ModeloRAT と呼称)をダウンロードします。
5) Persistence and follow-on payloads
- 永続化は、可視的な痕跡を最小化するため pythonw.exe を用い、HKCU\Software\Microsoft\Windows\CurrentVersion\Run 経由で確立されます。
- 追加ペイロードの配布にはクラウド ホスティング(例: Dropbox)からのダウンロードが含まれ、後続のチェーンでは scheduled task(例: “SoftwareProtection” というタスク名)による永続化も用いられ、Python ペイロードを繰り返し実行します。
Impact on IT administrators and end users
- エンド ユーザー は、突然のブラウザー クラッシュ、繰り返し表示される「セキュリティ」ポップアップ、問題を修正するためにコマンド実行を指示される、といった事象を報告する可能性があります。
- 管理者 は、Web、endpoint、identity にまたがる挙動の組み合わせを想定すべきです。疑わしい拡張機能のインストール、LOLBin の実行パターン、PowerShell の難読化、ユーザー領域への Python インタープリターのドロップ、新規 Run キー、疑わしい scheduled task などが含まれます。
- domain-joined systems への選択的な展開は、企業アクセスを優先する意図を示唆します。
Action items / next steps
- 変異が急速に進む亜種を捉えるため、Microsoft Defender Antivirus cloud-delivered protection(または同等機能)が有効になっていることを確認してください。
- 別の AV を主に使用している場合でも侵害後のアーティファクトをブロックできるよう、Microsoft Defender for Endpoint EDR in block mode を有効化してください。
- browser extensions の統制を見直し、強化してください(allowlists、拡張機能のインストール制限、新規インストールの監視)。
- 疑わしいパターンをハンティングしてください:
finger.exeのコピー/リネーム(例:ct.exe)と、想定外の外向き接続- 難読化された PowerShell によるダウンロード活動の起動
pythonw.exeを呼び出す新規 HKCU Run エントリ- 一見無害に見える名前(例: “SoftwareProtection”)の scheduled task が数分おきにスクリプトを実行
- ユーザー向けガイダンスを徹底してください: ポップアップから提示される「修復」コマンドは決して実行しない。ブラウザーのクラッシュ ループや想定外の拡張機能プロンプトは直ちに報告するよう周知します。
Microsoftテクノロジーの最新情報を入手
Microsoft Defender for EndpointClickFixsocial engineeringPowerShellPython RAT