ここ最近、ホテル業界を中心に、「Booking.com」を装った非常に巧妙なマルウェア攻撃が確認されています。表面的にはよくある予約に関する連絡メールに見えますが、実はその裏に危険なスクリプトが潜んでいます。
このサイバー攻撃は「ClickFix」と呼ばれる手口を使い、ファイルをダウンロードさせることなく、ユーザーに自らマルウェアを実行させる点が特徴です。
目次
予約に関する連絡 メールに仕込まれた罠
問題の攻撃メールは、見た目はまるで本物のBooking.comから送られてきたような内容になっています。
初期のバージョンでは「お客様対応に関する不具合」など、曖昧な表現が多かったのですが、最近のサンプルでは「宿泊客から連絡が取れず不満の声が上がっている」「24時間以内に対応しなければアカウント停止の恐れがある」など、心理的な圧力をかけてリンクを開かせようとするケースが増えています。
さらに進化したバージョンでは、架空の宿泊客名や予約リクエストを添えて「この内容を確認してください」とリンクを踏ませようとする巧妙な手口も確認されています。

CAPTCHA画面のように見せかけて、ユーザーにマルウェアを実行させる
メールのリンク先には「認証コードの確認です」といった文言とともに、いかにも正規のCAPTCHA画面のようなページが表示されます。

ですが、これがClickFixの正体。実際にはJavaScriptを使って、悪意のあるPowerShellスクリプトをユーザーのクリップボードにコピーさせています

さらにその下には「Windowsキー+Rで実行ウィンドウを開き、Ctrl+Vで貼り付け、Enterを押してください」と、まるで普通の操作手順のように見せかけて、ユーザーにマルウェアを実行させます。
驚くべきは、このスクリプトの末尾に「確認コード:reCAPTCHA ID 15891✅」などのコメントがついており、Runウィンドウ上ではコードの中身が見えず、あたかも「確認コード入力」と錯覚させる工夫までされています。

実際に配布されているマルウェアの種類
このキャンペーンで最も多く確認されているのは「XWorm RAT」という遠隔操作型マルウェアです。全体の53%のケースで使用されており、PCの遠隔操作や情報の収集に使われます。
次いで「Pure Logs Stealer(19%)」「DanaBot(14%)」といった情報窃取型のマルウェアも多く見られ、被害者のブラウザ保存情報や認証情報などが狙われています。
なお、11%のケースでは、RATと情報窃取型マルウェアが同時に配布されるという複合型の攻撃も確認されています。
Windows限定で攻撃対象を絞る巧妙さ
この攻撃は、Windows端末を狙い撃ちしている点も特徴的です。偽のCAPTCHAページは、アクセス元のUser-Agent(ブラウザの識別情報)を読み取り、Windows以外のOSでアクセスした場合は「このサイトはWindows専用です」と表示されるようになっています。これは、スクリプトがWindows用に設計されているためで、標的を明確に絞った手口といえます。
ClickFixの変種-Cloudflareやクッキーバナーを偽装するケースも
ClickFixはBooking.com以外にも、Cloudflareの認証画面を偽装したバージョンや、「Cookieを許可しますか?」というバナーを装った攻撃も確認されています。

後者では、「Accept」ボタンを押すとスクリプトファイルがダウンロードされ、「Cookieの承認のためにファイルを実行してください」と案内されます。ユーザーが「普通のWeb操作」だと思い込んで実行してしまう点が非常に危険です。
セキュリティ担当者が取るべき対策
このような攻撃は、技術的な検知をすり抜けてくるため、エンドユーザーの教育が最も重要です。特に「Windowsキー+R→Ctrl+V→Enter」という操作に誘導されるようなケースは、実質的にユーザーに自らマルウェアを実行させる攻撃であり、従来の「添付ファイル」や「リンク経由のダウンロード」よりもさらに巧妙です。
以下のような対策が求められます
-
Booking.comやその他のサービスを装った不審なメールの啓発と、コマンド実行を指示された場合は実行しないよう社内周知
-
PowerShellの使用制限およびロギング強化
-
ユーザーへの「Runコマンド」操作の禁止
-
クリップボード操作の監視(EDR/XDR導入による)
-
CAPTCHA風の画面でスクリプトを実行させる誘導のパターンを教育
今後、ClickFixを模倣した攻撃が増えることが予想されます。実在ブランドを騙ったメール、偽の認証画面、心理的なプレッシャー──これらが組み合わさった攻撃に対して、「自分で実行させる」という新しい手口に警戒を強める必要があります。
参照
https://cofense.com/blog/clickfix-campaign-spoofs-booking-com-for-malware-delivery








