C
月内に
ClickFix攻撃の新しい変種
📌 一言でいうと
ClickFix攻撃の新しい変種が発見されました。従来のPowerShellを利用した手法から、Windows標準ツールであるcmdkeyとregsvr32を組み合わせた手法に移行しており、ファイルレスでリモートペイロードを配信します。攻撃者はCloudflareのCAPTCHAページを偽装し、ユーザーにWin+Rからコマンドを実行させる社会工学的な手法を用いています。
🏢影響範囲
Windows OSを利用する全ての個人および企業ユーザー
✅該当時の対応
不審なウェブサイトで指示されたコマンドをWindowsの「ファイル名を指定して実行」に入力しないようユーザー教育を徹底すること。また、LOLBins(cmdkey, regsvr32等)の異常な挙動を監視するEDR設定の最適化を推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】偽の認証画面(CAPTCHA)によるウイルス感染について
お疲れさまです。情報システム担当です。
ウェブサイトで「私はロボットではありません」という確認画面(CAPTCHA)が表示され、特定の操作(Win+Rキーを押してコマンドを貼り付けるなど)を指示される攻撃が確認されています。
ご協力をお願いしたいこと:
1. ブラウザ上で「コマンドをコピーして実行してください」と指示されても、絶対に実行しないでください。
2. 不審な指示が表示された場合は、すぐにブラウザを閉じ、情シス担当まで報告してください。
対応期限: 本日中(周知徹底をお願いします)
お疲れさまです。情報システム担当です。
ウェブサイトで「私はロボットではありません」という確認画面(CAPTCHA)が表示され、特定の操作(Win+Rキーを押してコマンドを貼り付けるなど)を指示される攻撃が確認されています。
ご協力をお願いしたいこと:
1. ブラウザ上で「コマンドをコピーして実行してください」と指示されても、絶対に実行しないでください。
2. 不審な指示が表示された場合は、すぐにブラウザを閉じ、情シス担当まで報告してください。
対応期限: 本日中(周知徹底をお願いします)
Subject: [Security Alert] Beware of Fake CAPTCHA Verification Pages
Dear employees,
We have observed a new type of attack where users are tricked by fake "I am not a robot" (CAPTCHA) pages into executing malicious commands on their computers.
What you need to do:
1. NEVER copy and paste commands into the Windows "Run" dialog (Win+R) when prompted by a website.
2. If you encounter a page asking you to perform such actions, close the browser immediately and report it to the IT security team.
Deadline: Immediate
Dear employees,
We have observed a new type of attack where users are tricked by fake "I am not a robot" (CAPTCHA) pages into executing malicious commands on their computers.
What you need to do:
1. NEVER copy and paste commands into the Windows "Run" dialog (Win+R) when prompted by a website.
2. If you encounter a page asking you to perform such actions, close the browser immediately and report it to the IT security team.
Deadline: Immediate
件名: 【共有】ClickFix攻撃の新変種(cmdkey/regsvr32利用)への対応について
お疲れさまです。ClickFix攻撃の最新トレンドに関する情報共有です。
■ 概要
従来のPowerShellベースの攻撃から、cmdkeyおよびregsvr32を悪用したファイルレス攻撃へと手法が進化しています。CloudflareのCAPTCHAページを偽装し、ユーザーに直接コマンドを実行させることで、検知を回避しつつリモートDLLをロードさせます。
■ 影響範囲
- Windows OS全般
■ 対応手順
1. EDR/SIEMにおいて、cmdkey.exeおよびregsvr32.exeによる不審なネットワーク接続や、不自然な引数での実行を監視対象に追加してください。
2. ユーザーに対し、ブラウザからの指示でコマンドプロンプトや「ファイル名を指定して実行」を操作させる手法への注意喚起を行ってください。
■ 参考情報
- CyberProof Threat Research
対応優先度: 高
対応期限: 速やかに
お疲れさまです。ClickFix攻撃の最新トレンドに関する情報共有です。
■ 概要
従来のPowerShellベースの攻撃から、cmdkeyおよびregsvr32を悪用したファイルレス攻撃へと手法が進化しています。CloudflareのCAPTCHAページを偽装し、ユーザーに直接コマンドを実行させることで、検知を回避しつつリモートDLLをロードさせます。
■ 影響範囲
- Windows OS全般
■ 対応手順
1. EDR/SIEMにおいて、cmdkey.exeおよびregsvr32.exeによる不審なネットワーク接続や、不自然な引数での実行を監視対象に追加してください。
2. ユーザーに対し、ブラウザからの指示でコマンドプロンプトや「ファイル名を指定して実行」を操作させる手法への注意喚起を行ってください。
■ 参考情報
- CyberProof Threat Research
対応優先度: 高
対応期限: 速やかに
Subject: [Technical Alert] New ClickFix Variant utilizing cmdkey and regsvr32
Dear Security Team,
We are sharing intelligence regarding a new evolution of the ClickFix attack chain.
■ Overview
Attackers have shifted from PowerShell to a combination of cmdkey and regsvr32 to achieve fileless payload delivery. By mimicking Cloudflare CAPTCHA pages, they trick users into executing a command chain that stores credentials and loads remote DLLs via trusted Windows components (LOLBins), bypassing many traditional behavior-based detections.
■ Scope
- All Windows-based endpoints
■ Mitigation Steps
1. Update EDR/SIEM detection rules to monitor for anomalous behavior associated with cmdkey.exe and regsvr32.exe, specifically remote DLL loading.
2. Conduct targeted security awareness training regarding social engineering tactics that prompt users to use the Windows Run dialog.
■ Reference
- CyberProof Threat Research
Priority: High
Deadline: Immediate
Dear Security Team,
We are sharing intelligence regarding a new evolution of the ClickFix attack chain.
■ Overview
Attackers have shifted from PowerShell to a combination of cmdkey and regsvr32 to achieve fileless payload delivery. By mimicking Cloudflare CAPTCHA pages, they trick users into executing a command chain that stores credentials and loads remote DLLs via trusted Windows components (LOLBins), bypassing many traditional behavior-based detections.
■ Scope
- All Windows-based endpoints
■ Mitigation Steps
1. Update EDR/SIEM detection rules to monitor for anomalous behavior associated with cmdkey.exe and regsvr32.exe, specifically remote DLL loading.
2. Conduct targeted security awareness training regarding social engineering tactics that prompt users to use the Windows Run dialog.
■ Reference
- CyberProof Threat Research
Priority: High
Deadline: Immediate