偽CAPTCHAが信頼されたWebインフラを悪用してマルウェアを配布

偽CAPTCHAや「ClickFix」の誘導は、現代のWebにおいて最も執拗で巧妙なマルウェア配布メカニズムの一つとして台頭しています。

これらのページはCloudflareのような信頼されたサービスの正規の検証チャレンジを模倣し、セキュリティチェックやブラウザ検証手順に見せかけた悪意のあるコマンドをユーザーに実行させるよう欺きます。

日々何百万人ものユーザーが遭遇する、ごく一般的なセキュリティの中間ページに見えるものが、信頼を武器化して悪用するフレームワークへと変貌しています。

9,000超の偽CAPTCHAエンドポイントに対する最近の大規模分析は、重要な洞察を明らかにしました。すなわち、このエコシステムは単一の脅威アクターが支配する一枚岩のキャンペーンではなく、信頼されたWebインフラを体系的に悪用する、断片化され急速に進化する乱用パターンだということです。

単一の検証インターフェースが、互換性のない複数の配布モデル、異なるマルウェアファミリー、そして別々のグループが運用する独立したインフラネットワークの前面として機能し得ます。

インターネット規模のビジュアルクラスタリングと挙動分析を用いて実施された本調査は、攻撃者が信頼を構築するインターフェース層を、背後にある実行メカニズムから切り離していることを示しています。

その結果、見た目の均一性が運用上の混沌を覆い隠し、従来の検知手法では乱用の全体像を捉えきれない脅威環境が生まれています。

見た目の均一性の規模

Censysの研究者は、知覚ハッシュ（pHash）技術を用いて視覚的外観に基づきページをクラスタリングし、偽CAPTCHAの挙動を示す9,494の異なるWeb資産を分析しました。

「ビジュアルクラスタ0」と指定された支配的なパターンは6,686のエンドポイントを占め、観測された偽CAPTCHA活動全体のおよそ70%に相当しました。

このクラスタは、一般的なCloudflare風の検証チャレンジに酷似しており、ユーザーが信頼するよう条件付けられてきた見慣れたレイアウト、タイポグラフィ、操作フローを備えています。

視覚的一貫性は、正当性を高めるために設計された微妙なディテールにまで及びます。多くのページは侵害されたドメインやホスティングドメインからサイト固有のfaviconを動的に取り込み、プラットフォーム公認の検証であるかのような錯覚を生み出します。

カスタムのエンリッチメント・ワークフローにより、完全なHTML本文、埋め込みスクリプト、クリップボードコマンドを抽出し実行メカニズムを特定するために必要なクライアント側ロジックへアクセスできました。

この圧倒的な見た目の均一性は当初、脅威アクター間での協調したキャンペーン活動やツールの共有を示唆していました。しかし、より深い分析により、まったく異なる現実が明らかになりました。均一なインターフェースの下には、深刻な挙動の断片化が存在していたのです。

ビジュアルクラスタ0の6,686エンドポイントのうち、研究者は5,441資産から実行挙動の抽出に成功し、カバレッジは85.6%に達しました。

このカテゴリではVBScriptダウンローダが1,706資産で優勢となり、Windowsネイティブのコンポーネントを用いてリモートスクリプトを取得するインラインローダを構築していました。

PowerShellベースのダウンローダは1,269資産を占め、通常は難読化を最小限に抑えたままNet.WebClient.DownloadFileメソッドを使用していました。

さらに252資産では難読化されたPowerShellが用いられ、連結文字列や文字配列から実行時にコマンドを再構成していました。

別の実行モデルではスクリプトエンジンを完全に回避し、Windows Installerパッケージ（MSIEXEC）を使ってマルウェアを配布していました。

1,212資産で観測されたこの手法では、検証を装ったパス配下に、多数の侵害ドメイン上でMSIペイロードがホストされていました。

VBScriptによる配布は95.164.53.115:5506や78.40.209.164:5506といったハイポートのサーバに集中していました。PowerShellによる配布はghost.nestdns.comやpenguinpublishers.orgのような無関係なドメインを指していました。

MSIによる配布はインストーラペイロードをホストする侵害ドメインを活用し、一方でMatrix Push C2はmatrix.cymruとブラウザ媒介のインフラに全面的に依存していました。

偽CAPTCHAのエコシステムは、研究者が「Living Off the Web」と呼ぶ、正規のWebインターフェース、セキュリティ慣行、プラットフォーム公認のワークフローをマルウェア配布メカニズムとして体系的に悪用するという、Webベース脅威のより広範なシフトを体現しています。

偽CAPTCHAのエコシステム内における断片化と多様性は、従来のセキュリティ手法における重大なギャップを露呈させています。

クリップボードの悪用は依然として広く見られるものの、ビジュアルクラスタ0のサイトのうちクリップボード関連のJavaScriptを組み込んでいたのは85.6%にとどまりました。

推奨される防御戦略

組織は、偽CAPTCHAの配布モデルの全範囲を考慮した多層防御戦略を採用すべきです：

信頼を悪用するインタラクションパターンを監視する：想定外の文脈で表示される検証・セキュリティ風インターフェースにフラグを立て、特に通知許可の要求が直後に続く場合や、無関係なインフラに紐づく「人間であることの確認」フローが繰り返される場合に注意します。

インターフェースの存在をネットワーク挙動と相関させる：明示的な実行が見られない場合でも、下流のネットワーク接続、Service Workerの登録、プッシュ購読イベントは侵害の兆候となり得ます。

ユーザー啓発トレーニングを実施する：正規の検証チャレンジがクリップボード操作、PowerShellの実行、MSIのインストールを要求することは稀であるとユーザーに教育します。正規のCloudflareチャレンジはコマンドの実行を指示しません。

脅威インテリジェンス・プラットフォームを活用する：Censys Threat Hunt Moduleのようなソースから精選された脅威データを用い、ユーザーが操作する前に既知の偽CAPTCHAインフラを能動的にブロックします。

偽CAPTCHAのエコシステムは、Webベースのマルウェア配布がどのように機能するかにおける根本的な変化を示しています。

見た目の均一性が運用上の統一性を上回り、単一の信頼されたインターフェースが互換性のない複数の攻撃手法を覆い隠し得る、断片化した脅威環境を生み出しています。

攻撃者は、信頼を構築するインターフェース層を実行および制御インフラから切り離すことに成功し、迅速な適応と回避を可能にしています。

もはや一貫したアーティファクトは、マルウェアファミリー、ペイロード、C2サーバではなく、インターフェース層そのものです。

ユーザーが受け入れるよう条件付けられたWeb標準化されたセキュリティ体験の内部で動作することで、脅威アクターは模倣対象のサービスを侵害する必要なく信頼を継承します。

防御側にとって、これはパラダイムシフトを要求します。検知戦略は、クリップボード監視やペイロード収集を超え、遅延実行、ブラウザ媒介のプッシュチャネル、インストーラベースの手法を含む配布モデルの全範囲を包含する必要があります。