2025年9月、Acronis の調査チームが、概念実証(PoC)の域を超えた「FileFix(ファイルフィックス)」攻撃の実運用キャンペーンを観測しました。
近月急増している「*Fix」系(ClickFix/FileFix/PromptFixなど)の一派で、被害者自身に OS の機能を使って攻撃コードを実行させる“自己実行型”のソーシャルエンジニアリング手法が核となっています。
目次
FileFixとは何か──「貼り付けさせる」攻撃の新顔
ClickFix(クリックフィックス)が「Win+RでRunダイアログを開き、貼り付けてEnter」という偽CAPTCHA手口を多用するのに対し、
FileFixはファイルアップロードのダイアログを悪用します。
フィッシングサイト上の「ファイルを選択」ボタンを押すとエクスプローラーのアップロードウィンドウが開きますが、攻撃者はそのアドレスバーにコマンドを貼り付けさせるよう誘導します。コマンドはローカルで実行され、ユーザーは「PDFを開く」つもりで、実際にはPowerShellを走らせてしまい、
結果的にインフォスティーラー型のマルウェアをインストールしてしまいます。
「Facebookセキュリティ」偽サイトから誘導
今回のキャンペーンが用いたサイトは、Metaのサポートページの意匠を精巧に模写し、16言語以上にローカライズされていました。

画像:Acronis
アカウント停止の予告と不服申し立てを提示し、「手順PDFを開くためにファイルパスを貼り付けてください」と促します。
ここで被害者がアドレスバーに貼るのはファイルパスではなく1行の高度に難読化されたPowerShellです。実行後は「ファイルを開けませんでした」と体裁を整えたエラーを出し、被害者は画面上先に進めない一方で、裏側では感染鎖が進みます。

画像:Acronis
感染鎖:画像に潜む第2段・実行ファイル、段階的に復号・展開
最初のPowerShellは、Bitbucket等に置かれた一見無害なJPGをダウンロードします。
コードはクラス名・名前空間を細切れの変数に分割するなどパターン回避の難読化が徹底され、URL自体をXORと16進表現で暗号化して実行時に復元する亜種も確認されています。
-
第1段:JPGの指定オフセット以降からプレーンテキストの第2段PowerShellを切り出して実行。
-
第2段:同じJPG内にRC4で暗号化して埋め込んだ実行ファイル/DLLをオフセット指定で抽出→解凍(gzip)→復号→ディスクに投下。
.exeはconhost.exe経由で起動し、12分後に自削除。ユーザーにはダイアログで「Cannot open file!」とだけ表示。
画像は牧歌的な風景やマクロ写真といったAI生成風の素材が用いられており、静的スキャンで“ただの画像”に見えることが検知回避に効いています。ステガノグラフィをFileFixの一次ペイロード直下で使うのは珍しく、防御側にとって盲点になり得ます。
どこが危ないのか
FileFixの厄介さは、ユーザーが普段触れる操作系(ファイル選択、クリップボード)を踏み台にする点にあります。
端末に管理者権限が無くても、ブラウザ子プロセスとしてPowerShellが起動すれば、ユーザープロファイル配下の資格情報やブラウザ保管のトークンにアクセスが及びます。
EDRやプロキシのルールが「端末上のRun/端末コンソール」寄りに最適化されていると、ブラウザ→PowerShellのツリーを見落としやすくネットワーク監視にも引っかかりにくいです。
さらに、BitbucketやGrabifyなど正規サービスを経由することでUTMやEDRの検知をさけています。
参考:主なIoC(侵害の痕跡)
ハッシュ(SHA-256)
IP77.90.153.225
ドメイン/ホスト





-200x200.png)


