オンラインのセキュリティ対策製品を提供しているマカフィーの調査チームは10月3日、複数の国を対象としたマルウェアの動きを観察する中で、セキュリティツール「CAPTCHA」がLumma Stealer(ユーザーの認証情報を窃取するマルウェア)の配布に悪用されている感染連鎖を発見したことを報告した。

攻撃対象が全世界に分布

CAPTCHAは「Completely Automated Public Turing test to tell Computers and Humans Apart(人間とコンピュータを区別する完全に自動化された公開チューリングテスト)」の略であり、その名の通り人間とコンピュータの区別のために使用されるセキュリティ対策ツール。ユーザーが簡単なクイズに回答することで、Webサイトやオンラインプラットフォームにおけるスパムや不正アクセスなどの自動化ツールによる悪用を防ぐ。

日本では、一連の歪んだ文字や数字を入力するテキストベースのクイズや、特定のオブジェクトや形状を含むイラストを選択するCAPTCHAのクイズが使われる。アカウントページにログインする際やオンラインショッピングの支払い画面などで表示される例が多い。

調査チームは、クラッキングされたゲームのダウンロードURLと、GitHubを装うフィッシングメールの2つの感染経路を特定したという。日本を含む複数の国と地域で攻撃が確認されている。

  • 偽のCAPTCHAの攻撃対象範囲

    偽のCAPTCHAの攻撃対象範囲

感染経路1:クラッキングされゲームのURL

ゲームソフトの海賊版やクラッキングされたゲームをダウンロードしようとするユーザーを、悪質なCAPTCHAにリダイレクトする経路があるという。インターネットで人気のビデオゲームの無料版やクラック版を検索すると、悪質なリンクにリダイレクトする可能性のある掲示板やコミュニティ投稿、誰でもアクセス可能なパブリックリポジトリが検索結果に表示される可能性がある。

リダイレクトされたページでは「私はロボットではありません」と表示されるが、ユーザーがボタンをクリックすると悪質なPowerShellスクリプトがクリップボードにコピーされ、それを実行するよう促される。

感染経路2:GitHubを装ったフィッシングメール

「セキュリティ脆弱性がある」という偽の内容を記載したフィッシングメールが確認されている。メールには偽のCAPTCHAページにつながるリンクが含まれるという。特にGitHubのユーザーがターゲットにされやすい傾向があるそうだ。

  • 感染経路のイメージ

    感染経路のイメージ

  • GitHubを装ったフィッシングメール

    GitHubを装ったフィッシングメール

  • 偽のCAPTCHAページ

    偽のCAPTCHAページ