概要
Fake CAPTCHA攻撃は、新しい波のLummaStealer感染の重要な入り口となっています。CastleLoaderローダーが単純なWebクリックを完全システム侵害へと変換する役割を果たしています。
背景
LummaStealerは、2022年末にロシア語のフォーラムで初登場し、Windowsターゲット向けの情報窃取型マルウェアファミリーとして急速に成長しました。このマルウェアは、ソフトウェアとしてのサービスモデルで販売され、ブラウザパスワードや2FAトークンなどの機密情報を盗むためのツールとして利用されています。
最近の動向
2025年5月にMicrosoftとパートナーがLummaコマンド&コントロール(C2)ドメイン2,300以上を破壊しましたが、この取り締まりは一時的なものでした。Bitdefenderの研究者は、LummaStealer活動の増加を確認し、攻撃者が弾力性を持たせるために別のホスティングサービスやローダーを使用していることを示しています。
フェイクCAPTCHAとClickFix
新しい感染の大半はソフトウェアの脆弱性ではなく、ソーシャルエンジニアリングによるものです。偽りのゲームセットアップや映画torrentなどが一般的な罠です。特に懸念されるのは、「クリックして人間であることを証明してください」というフェイクCAPTCHA攻撃で、ユーザーがWin+Rキーを押すよう指示され、クリップボードにコピーされたPowerShellスクリプトを実行させます。
CastleLoaderの役割
CastleLoaderは現在のLummaキャンペーンにおける中心的な配布メカニズムとなっています。このローダーは、ランダムに生成されたドメインに対する失敗したDNSルックアップを引き起こし、異常なDNSイベントを検出する信号として使用できます。
対策
LummaStealerの攻撃に対抗するために、セキュリティチームはユーザーがPowerShellやコマンドラインコマンドを実行することを要求するサイトに注意を払うべきです。また、不審なプロセスチェーンや「Living-off-the-land」ツール、CastleLoaderパターンの異常なDNSルックアップを監視することが重要です。
ユーザーと組織へのアドバイス
ユーザーと組織は、海賊版ソフトウェアや非公式メディアソースを使用しないことを推奨します。マルチファクタ認証の強制、パスワードの定期的な変更、および疑いがある場合のセッション無効化も重要です。
結論
フェイクCAPTCHA攻撃が広まっている中で、「クリックして人間であることを証明してください」というメッセージが「攻撃者のコードを実行する」という意味を持つ可能性があることに認識することが、LummaStealerの新しい波のキャンペーンに対抗するために不可欠です。