信頼できるWeb検証ページを模倣し、マルウェアを配布する偽CAPTCHAのエコシステム。
単一のキャンペーンにとどまらず、この脅威は多様な配布手法を隠すため、Cloudflare風のチャレンジをしばしばコピーした見た目がほぼ同一の誘導を用いる。
馴染みのあるブラウザのワークフローを悪用することで、攻撃者は防御を回避し、サービス自体を直接侵害せずに済ませている。
9,494件の追跡資産に基づく分析では、知覚ハッシュ(pHash)により70%が1つの支配的な視覚グループにクラスタリングされる一方で、実行はクリップボードスクリプトからファイルレスのプッシュ通知まで大きく異なることが明らかになった。
この「Webに寄生する(Living Off the Web)」戦術は、信頼を得るためのインターフェースとペイロードを切り離し、従来の検知を信頼できないものにしている。
ユーザーには標準的な「ブラウザ検証」ページが表示されるが、その背後にはVBScriptダウンローダー、MSIインストーラー、Matrix Push C2フレームワークといった互換性のないモデルが潜んでいる。
これを結び付ける単一のマルウェアファミリーは存在せず、どのオペレーターでも使い回せる層になっている。
クラスタ0が6,686件(70%)で支配的で、正当性を装うためサイト固有のファビコンを備える。しかし、解析可能な5,441件の中でも、サイロごとに32種類のペイロード亜種が確認された。
インフラのサイロは断片化を裏付ける。VBScriptは95[.]164.53.115:5506および78[.]40.209.164:5506に結び付き、PowerShellはghost.nestdns[.]comに、MSIは多様な侵害されたドメインに結び付く。モデル間の重複がないことは、独立したオペレーターがインターフェースを再利用していることを示す。
防御側はクリップボードスキャン(クラスタ0の14.4%を見逃す)を超えて方針転換する必要がある。文脈外の検証誘導、セキュリティページ後の通知許可、そしてSankeyで紐付く実行フローを監視せよ。
視覚的な類似性は帰属を惑わすため、代わりにインフラと挙動でクラスタリングするべきだ。Censysは現在、継続的な追跡のため偽CAPTCHAのスクリーンショットを自動取得している。
このエコシステムは、Web UXに対する条件付けられた信頼の上に繁栄している。スクリプト防御が強化されるにつれ、より多くのファイルレスへのピボットが予想される。
翻訳元: https://cyberpress.org/fake-captcha-malware-hijack/