マカフィーラボが今年9月に公開したレポートによると偽のCAPTCHAページを利用してインフォスティーラー(情報窃取型マルウェア)Lumma Stealerを配布する世界的な攻撃が確認されているということです。Google Cloud Securityが最近公開した2025年のサイバーセキュリティ予測(Cybersecurity Forecast2025)ではインフォスティーラーの脅威が今後さらに高まると予測しています。
フィッシングやゲームDL経由で感染
マカフィーラボのレポートに掲載されている偽のCAPTCHA URLにアクセスしているデバイスの位置情報を示した地図では日本も青く塗られていることから、日本もこのキャンペーンの対象になっていると思われます。CAPTCHは表示された特定の文字を記入させたり、複数の画像から指定された画像を選ばせるなどして機械ではないことをコンピューターが確認する仕組みで、スパム対策やセキュリティとして広く利用されています。マカフィーラボが確認したキャンペーンは、ゲームの海賊版やクラック版のダウンロードURL経由とフィッシングメール経由の2つの感染経路があり、フィッシングメール経由の場合はGitHubユーザーに架空の脆弱性に対処するように求めるメールが送られ、メールに記載のリンクをクリックすると偽のCAPTCHAページに誘導されるというものです。
偽のCAPTCHAページでユーザーに「人間であることを確認してください」や「私はロボットではありません」などのボタンをクリックさせ、クリックすると悪意のあるスクリプトがユーザーのクリップボードにコピー、ユーザーは Windows キー + R を押してスクリプトを貼り付けるように誘導され、知らないうちにマルウェアを実行してしまうというものです。
このキャンペーンで配布されているLumma Stealerは、C 言語で書かれた情報窃取プログラムで、少なくとも 2022 年 8 月からロシア語圏のフォーラムでマルウェア アズ ア サービス(MaaS)を通じて利用されているということです。「Lumma」という別名を持つ脅威アクター「Shamel」によって開発されたと考えられており、被害者のマシンから情報を盗み出しデータをC2サーバーに流出させとるということです。
マルウェアランキングの4位に上昇
Check Point Software の最新の脅威インデックスによると、Lumma Stealer などのインフォスティーラーが大幅に増加しているということです。今年10月のグローバル脅威インデックスの月間マルウェアランキングでLumma Stealerは4位に上昇、インフォスティーラーが大幅に増加していることが確認されたということです。
Cybersecurity Forecast2025では「盗まれた認証情報の使用は 2025 年まで続くと予想される」と指摘、増加が著しいインフォスティーラーによって窃取された認証情報はスキルが低い脅威アクターがターゲットにアクセスすることを容易にすることからその影響は広範囲に渡るとし2025年はインフォスティーラーによる脅威がさらに高まると予測しています。そして企業等の組織はクラウドネイティブのセキュリティソリューションの採用、堅牢なIDおよびアクセス管理制御の実装、継続的な監視と脅威インテリジェンスによる新たな脅威への対応が必要だということです。
■出典
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/behind-the-captcha-a-clever-gateway-of-malware/
https://malpedia.caad.fkie.fraunhofer.de/details/win.lumma
https://cloud.google.com/blog/topics/threat-intelligence/cybersecurity-forecast-2025?hl=en