ウクライナの戦争救援活動を支援する人道団体や政府機関を標的とした協調的なフィッシングキャンペーンが、サイバーセキュリティ研究者によって明らかにされました。
「PhantomCaptcha」として知られるこの作戦は、ウクライナ大統領府になりすまし、被害者を悪意のあるPDFドキュメントでマルウェアをダウンロードさせる手口を用いていました。
SentinelLABSとウクライナのDigital Security Labが本日発表した新たな勧告によると、この攻撃は2025年10月8日に始まり、国際赤十字、ユニセフ、ノルウェー難民評議会、複数のウクライナ地方行政機関の職員がフィッシングメールを受信しました。
これらのメッセージには、公式政府メモを装った8ページのPDFが添付されていました。開封すると、ユーザーは偽のZoomサイトzoomconference[.]appに誘導され、そこにはロシアのプロバイダーが所有するインフラ上に悪意のあるスクリプトがホストされていました。
被害者はCloudflareの認証ページのように見える画面を提示されました。このページは、最終的にPowerShellコマンドを実行させるいくつかの操作をユーザーに促し、攻撃者がマルウェアをシステムにインストールできるようにしました。
この手法は「ClickFix」または「Paste and Run」として知られ、ユーザー自身が知らずにコマンドを実行することで、標準的なセキュリティチェックを回避します。
マルウェアは3つの段階で動作しました:
-
第1段階: 500KBを超える難読化されたダウンローダースクリプトが追加のペイロードを取得
-
第2段階: システム識別子、ユーザー名、ドメイン情報を収集する偵察モジュール
-
第3段階: コマンド実行やデータの持ち出しを可能にするWebSocketベースのリモートアクセス型トロイの木馬(RAT)
研究者によると、インフラはわずか1日間だけ稼働しており、検知を回避するための意図的な戦略がうかがえます。しかし、バックエンドサーバーは感染デバイスの管理のためにオンラインのままでした。
マルウェア配信手法とソーシャルエンジニアリングのトレンドについてさらに読む:AI主導のソーシャルエンジニアリングが2026年の主要サイバー脅威に、ISACA調査が明らかに
さらなる分析により、PhantomCaptchaはアダルトエンターテインメントやクラウドストレージサービスを装った悪意のあるAndroidアプリを含む、より広範な作戦と関連していることが判明しました。
その一例として、princess-mens[.]clickというドメインがprincess.apkというアプリを配布し、感染したデバイスから連絡先、メディア、SIMデータ、位置情報を収集していました。関連性はあるものの、このモバイル経路は別の活動クラスターとして追跡されています。
「PhantomCaptchaキャンペーンは、高度な能力を持つ敵対者によるものであり、広範な作戦計画、分割されたインフラ、意図的な露出制御が示されています」とSentinelLABSは述べています。
「初期インフラ登録から攻撃実行までの6か月間、そしてユーザー向けドメインの迅速な削除とバックエンドのコマンド&コントロールの維持は、攻撃的な技術と防御的な検知回避の両方に精通したオペレーターであることを強調しています。」
この脅威に対抗するため、同社はユーザーに対し、Windowsの「ファイル名を指定して実行」ダイアログにコマンドを貼り付けるよう指示する内容には十分注意するよう助言しています。
組織はまた、PowerShellのアクティビティを監視し、実行ポリシーの制限を徹底し、新規登録またはなりすましドメインに関連する疑わしいWebSocket接続を追跡することも推奨されています。
画像クレジット:rospoint / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/phantomcaptcha-campaign-targets/
