偽のCAPTCHAは検証テキストに偽装されたマルウェアを実行させる

欺瞞的なCAPTCHAページがWindowsランの脆弱性を利用してステルスマルウェアを展開

ニュージャージー州のサイバーセキュリティアナリストは今週、偽のCAPTCHAチャレンジを通じて政府職員をターゲットにした不安なマルウェアの手口に警鐘を鳴らしました。ニュージャージーサイバーセキュリティおよびコミュニケーション統合セル（NJCCIC）は3月20日に、この攻撃者が州の職員に偽のセキュリティチェックを装ったウェブサイトへのリンクを含むメールを送信したと発表しました。NJCCICによれば：

メールにはターゲットを悪意のあるまたはコンプロマイズされたウェブサイトに誘導し、欺瞞的なCAPTCHA検証チャレンジを促すリンクが含まれています。

これらのチャレンジは、ユーザーを欺いて危険なコマンドを実行させ、密かにSectopRATインフォスティーラーをインストールするよう設計されています。

この手法は特に巧妙で、クリップボードを利用したトリックでその意図を隠していました。リンクをクリックした被害者は、コマンドを自動的にコピーする偽のCAPTCHAページに誘導されました。そのウェブサイトは次に、ユーザーがそのコマンドをWindowsの実行ダイアログに貼り付けることを検証ステップの一環として指示します。貼り付けられたテキストの最後は「私はロボットではありません – reCAPTCHA認証ID: ####」という標準的なメッセージのように見えるにもかかわらず、実際にはコマンドを実行することで、一般的なファイルタイプに偽装されたマルウェアを取得して実行するために使われるWindowsの正当な実行ファイルであるmshta.exeを起動します。

NJCCICは、広く採用されているツールを使ったコンプロマイズされたサイトにキャンペーンの痕跡をたどりました：「さらなる分析により、特定されたコンプロマイズされたウェブサイトは、WordPressコンテンツ管理システム（CMS）プラットフォームやJavaScriptライブラリなどの技術を使用していることが示されました。」

調査では、コンプロマイズされたビデオサービスを経由して自動車販売店のウェブサイトをターゲットとした供給チェーンコンポーネントも発見されました。感染した訪問者は同じインフォスティーラーをダウンロードするリスクにさらされました。同時に、サイバーセキュリティ研究者たちは、他のマルウェアタイプを配布する関連オペレーションを文書化しました：

研究者たちは、LummaおよびVidarインフォスティーラーやステルスルートキットを展開する類似した偽CAPTCHAマルウェアキャンペーンも発見しました。正当なCAPTCHA検証チャレンジは、ユーザーの身元を確認するものであり、Windowsの実行ダイアログボックスにコマンドや出力をコピー＆ペーストすることを要求しません。

担当者はシステム管理者にソフトウェアを更新し、CMSの資格情報を強化し、事件をFBIのインターネット犯罪苦情センターおよびNJCCICに報告するよう勧告しました。