ClickFixの発展版「CrashFix」、ブラウザをクラッシュさせてマルウェアを配布

佐々山 Tacos

2026.01.21

ClickFixの発展版「CrashFix」、ブラウザをクラッシュさせてマルウェアを配布

Dark Reading – January 21, 2026

ソーシャルエンジニアリング戦術「ClickFix」の新たな進化版「CrashFix」について、Huntressの研究者らが報告。従来のClickFixが架空の「技術上の問題」や偽のCAPTCHA認証を提示してユーザーを騙し、悪意あるコードを実行させるものだったのに対して、CrashFixは意図的にユーザーのブラウザを「クラッシュ」させて実際に「問題」を作り出したのち、これを「解決するため」として悪意あるコードを実行させるという。

Huntressの研究者が対応した被害者は、広告ブロッカーをGoogleで検索していたところ、悪意ある広告に遭遇。広告の遷移先となっていた公式のChrome Webストアページから、「NexShield」というブラウザ拡張機能をインストールしたという。

NexShieldは、正規の広告ブロックアプリである「uBlock Origin Lite」になりすました悪性の拡張機能。Huntressが「ほぼuBlock Origin Liteのクローン」と表現するほど両者の類似性は高いものの、NexShieldはDoS攻撃によって被害者のブラウザをクラッシュさせる性能を持つ。そしてこのブラウザの問題に関する警告メッセージを表示し、解決のためにスキャンを実行するよう被害者に伝える。しかし表示された手順に従うと、感染チェーンが開始してしまうことになるという。

ただ、DoS攻撃はインストール後すぐに始まるわけではない。NexShieldはChromeのAlarms APIを使用し、ペイロードの実行を60分遅らせるタイマーと、初回の実行以後は10分ごとにペイロードを実行するタイマーを設定。これにより、ブラウザ異常の原因がNexShieldのインストールにあることをユーザーに気付かれにくくしている。

インストールの60分後に実行されるペイロードによりクラッシュしたブラウザを被害者が再起動しようとすると、NexShieldは偽のセキュリティ警告画面を表示。警告を通じ、Windowsの［ファイル名を指定して実行］ダイアログを開いてクリップボードから修復用コマンドをペーストするよう被害者に指示する。このCrashFix戦術により「修復用コマンド」が実行されると、攻撃者のC2サーバーへの接続が確立され、被害者システムに関する情報がC2へ伝達されるという。

この情報に基づいて当該デバイスが「ドメイン参加済みホスト（企業システムであることを示唆）」と判定された場合、攻撃者はModeloRATマルウェアを投下。ModeloRATは広範なシステム偵察性能を備えるトロイの木馬であり、OSや実行中のプロセス、ネットワーク構成、ユーザー権限といった情報を収集するほか、解析ツール・仮想マシンの兆候・アンチウイルス製品の存在有無をチェックする。

一方で、被害者のデバイスが企業ネットワークに登録されたものではない家庭用のものと判定された場合は、ModeloRATの展開を伴わない別の感染チェーンが開始される。このチェーンではC2が「TEST PAYLOAD!!!!」というレスポンスをすることから、Huntressはまだテスト段階である可能性を指摘。キャンペーンの背後にいるとされるアクター「KongTuke」の「エンタープライズネットワークへの関心がより高まっていること」の表れだろうとの見解を述べた。

KongTukeのメインターゲットは企業システムであるとみられること、また、実際に発生中のブラウザの問題をルアーとする説得力の高さを備えることから、エンタープライズ組織にとって、CrashFixはClickFixよりも大きな脅威となる可能性が高いものとみられる。

Huntressはブログ記事の中で、このキャンペーンのIoCを公開。またKongTukeが正規のWindowsユーティリティである「Finger.exe」を悪用したLiving-off-the-Land（LotL）戦術を用いることを踏まえ、組織に対し、正規のWindowsユーティリティの異常な使用が見受けられないかをモニタリングするよう推奨している。その他の推奨策やさらに詳しいCrashFixの解説、IoC、YARAなどは同社の記事で確認できる。