Attackers Leverage Weaponized CAPTCHAs to Execute PowerShell and Deploy Malware
2025/03/21 gbhackers — 近ごろの高度なサイバー攻撃の急増の背景にあるのは、偽の CAPTCHA チャレンジを悪用してユーザーを騙す、脅威アクターたちの存在である。それにより、悪質な PowerShell コマンドを実行させ、マルウェア感染を引き起こしているという。HP Wolf Security Threat Insights Report for March 2025 が強調する、この戦術は、悪質な Web サイトへと潜在的な被害者を誘導し、検証手順を完了するように促すものである。
これらの手順に従うユーザーは、騙されて PowerShell スクリプトをコピーして実行するため、Lumma Stealer などのマルウェアをダウンロードしてインストールすることになる。Lumma Stealer とは、暗号通貨ウォレットなどの機密データを盗み出すために、広く普及しているインフォ・スティーラー・ツールである。
ユーザーの信頼を悪用する CAPTCHA チャレンジ
攻撃者たちは、本物に見える偽の CAPTCHA チャレンジを作成して、ユーザーの信頼を悪用する。これらの悪意のチャレンジが、Web 広告/SEO ハイジャックや、侵害済のサイトからのリダイレクトなどで多発している。
偽の CAPTCHA タスクを完了したユーザーは、騙されて Windows の実行プロンプトを開き、悪質な PowerShell コマンドを実行することになる。これらのコマンドは、Base64 でエンコードされた ZIP アーカイブを取り込んだ、大容量のスクリプトをダウンロードした後に、それを抽出して、被害者のデバイスにインストールするように機能する。
さらに、これらのマルウェアは、DLL サイドローディングなどの手法を使用して、信頼できるプロセスを実行することで、検出を回避していく。
その他の新たな脅威
攻撃者たちは、武器化された CAPTCHA に加えて、他の革新的な方法も活用して、マルウェアを拡散している。
たとえば、Scalable Vector Graphics (SVG) イメージに悪意の JavaScript コードを埋め込む手口などにより、攻撃者は RAT (remote access trojans) や情報窃取ツールなどを展開している。AI やデータ・サイエンスで広く使用され、攻撃者の間でも人気を高めている Python の難読化されたスクリプトが、これらのキャンペーンでも多用されている。
もう1つの注目すべき脅威は、アジア太平洋地域のエンジニアリング企業を VIP キーロガー・マルウェアで標的にする、悪意の PDF ドキュメントである。これらの PDF は、見積もり依頼を装い、ユーザーを騙して悪意のファイルをダウンロードして実行させる。
こうした高度な脅威の増加が浮き彫りにするのは、堅牢なエンドポイント・セキュリティ対策の重要性である。企業は警戒を怠らず、こうした攻撃を軽減するための、戦略を実装していく必要がある。たとえば、クリップボード共有などの不要な機能の無効化や、Windows 実行プロンプトへのアクセスの制限などを、真剣に検討すべきである。
さらに、セキュリティ・ソフトウェアを最新の状態に保ち、脅威インテリジェンス・サービスを活用することで、進化するサイバー脅威に先手を打つ必要がある。
HP Wolf Security による、2024 Q4 におけるサイバー脅威の傾向と手法を分析したレポートです。偽の CAPTCHA ページだけでなく、SVG 画像/PDF ドキュメントを悪用した攻撃が取り上げられていますが、いずれも日常的によく使うツールやファイルばかりです。改めて、ユーザー自身が情報を収集し、日頃からの注意深く行動することの重要性を実感します。2024年には、このブログでも、CAPTCHA を悪用した攻撃に関する記事を2件ポストしています。よろしければ、Research + Malware で検索と併せて、ご参照ください。
2024/10/22:偽の CAPTCHA ページを悪用する Lumma Stealer
2024/08/23:CAPTCHA 破りを提供し続けて 16年:Greasy Opal
IoT OT Security News 
You must be logged in to post a comment.