HPの最新のThreat Insights Reportにより、悪意のあるCAPTCHAキャンペーンが急増していることが明らかになりました。これらのキャンペーンでは、ユーザーがPowerShellコマンドを実行するようだまされ、その結果、Lumma Stealerリモートアクセス型トロイの木馬(RAT)がインストールされます。
HPによると、これらのキャンペーンは、オンラインで本人確認を行うために手間のかかる手順を踏むことにユーザーが慣れてきたことで「クリック耐性」が高まっている点を攻撃者が悪用していることを示しています。
ユーザーは攻撃者が管理するサイトへ誘導され、さまざまな偽の認証チャレンジを完了するよう促されました。その結果、PC上で悪意のあるPowerShellコマンドを実行してしまい、最終的にLumma Stealer RATがインストールされました。
HPのパーソナルシステム部門グローバル・ヘッド・オブ・セキュリティであるイアン・プラット博士は次のように述べています。「多段階認証は今や当たり前となり、私たちの『クリック耐性』を高めています。調査は、ユーザーが感染チェーンの中で複数の手順を踏んでしまうことを示しており、サイバー意識向上トレーニングの不十分さを強く浮き彫りにしています。」
プラット氏はさらに、「組織は攻撃者との軍拡競争の中にあり、AIはそれをさらに加速させるだけです。ますます予測不能になる脅威に対抗するため、組織は、危険な行為――たとえば自分に害を及ぼし得るものをクリックすること――を隔離することで攻撃対象領域を縮小することに注力すべきです。そうすれば次の攻撃を予測する必要はなく、すでに保護されているのです」と付け加えました。
同社の報告書では、HP Sure Clickが特定したメール脅威の少なくとも11%が、1つ以上のメールゲートウェイスキャナーを回避していたことが判明しました。
また、マルウェアの配布手段として最も多かったのは実行ファイル(43%)で、次いでアーカイブファイル(32%)でした。
複数のキャンペーンで配布されるRAT
HPが特定した第2のキャンペーンでは、攻撃者がマイクやウェブカメラのキャプチャなど高度な監視機能を備えたオープンソースRAT「XenoRAT」を拡散していました。
ソーシャルエンジニアリング手法でユーザーにWordおよびExcel文書のマクロを有効化させることで、攻撃者はデバイスを制御し、データを流出させ、キーストロークを記録できました。これは、WordとExcelが依然としてマルウェア展開のリスクをはらんでいることを示しています。
HPはまた、脅威アクターがScalable Vector Graphics(SVG)画像を悪用して悪意のあるJavaScriptを配信し、従来の検知メカニズムを回避していることも確認しました。
既定では、ウェブブラウザがこれらの画像をレンダリングし、埋め込まれたコードが実行されます。この手法により、RATやインフォスティーラーを含む7種類のペイロードを展開でき、攻撃者に冗長性と多様な収益化の手段を提供します。
感染チェーンの一環として、攻撃者は難読化されたPythonスクリプトも使用してマルウェアをインストールしていました。AIやデータサイエンスへの関心の高まりによってさらに後押しされているPythonの人気は、インタープリターが広くインストールされていることも相まって、攻撃者がマルウェアを書く言語としてますます魅力的になっています。
Threat Insights Reportのデータは、2024年10月〜12月に、同意したHP Wolf Securityの顧客から収集されました.
画像クレジット:lilgrapher / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/attackers-fake-captchas-lumma/
