Clickfix

• AI 生成された膨大な量の不要コードを埋め込み、セキュリティスキャンを検知しにくい malware DeepLoad が発見された。
• ClickFix ソーシャルエンジニアリングとメモリ内実行を用い、ユーザーのパスワードやキーボード入力を盗み取る。
• 標準的なクリーンアップでは不十分で、WMI スクリプトや動的 DLL 経由で感染を再実行し続ける新たな脅威である。

AI 生成コードを背景とした高度なエバッション手法と、従来の対策では無力な WMI 利用による永続性確保が指摘され、セキュリティ基盤の根本を見直さなければならない状況に直面している。

• ClickFix 攻撃、すなわち悪意のあるコマンドを Win+R に貼り付けるための偽 CAPTCHA ページが脅威となっており、それに対処する新しい検出手法が開発された。
• 検出信号としては JavaScript クリップボード操作が CF_UNICODETEXT のみを書き込む一方で、実際のページからの Ctrl+C により HTML フォーマットも書き込まれるという特徴を利用している。
• ClipGuard というツールがこれらの信号を確認し貼り付けをブロックする仕組みを持ち、開発者が実装テスト環境で Daily Drills として試行錯誤を促す新たな事例である。

ユーザーへの被害回避とセキュリティ意識向上のために、既存の攻撃手法に対する新しい検出シグナルを提供し、日常作業中のリスク管理の可能性を示した。

• ClickFix 攻撃が macOS ユーザーを標的にし、マルウェアバイトリーズ報告のイニフィニティスティーラーを配信する新たなケースである。
• Fake CAPTCHA ページを介してターミナル命令を実行させ、Nuitka でコンパイルされた Python スクリプトとバイナリをランタイムで展開・実行する構成が見られる。
• ブラウザ認証情報や暗号資産ウォレットなど機密データを収集し Telegram 経由で送信中のインフィニティスティーラーは、従来の Windows 攻撃技法の Mac 移植進化である。

macOS 向けの ClickFix 攻撃が確立されており、Python のネイティブコンパイルによる検知回避手法を活用した新世代ステーカーの脅威が高まっている。