執拗なマルウェア攻撃者らは、被害者からデータを盗み取る手段の一つとして、広く使われている「CAPTCHA」認証の仕組みを悪用している。
セキュリティ企業Malwarebytesの報告書が指摘するように、そのやり口は、人々がCAPTCHA認証の手順を深く考慮せず実行する傾向を利用している。
攻撃の仕組み
例えば、映画や音楽、写真、ニュースなど、さまざまなコンテンツを提供するウェブサイトにたどり着く。そうすると、CAPTCHA認証が表示され、あなたがロボットでないことを証明するように求められる。私たちの多くは、このようなリクエストに慣れているため、ためらうことなくこれに応じてしまうだろう。
しかし、写真の中の特定の画像を選択したり、歪んだ文字を識別したりする通常のCAPTCHAチャレンジとは異なり、以下の画像にあるような指示が表示される。
提供:Malwarebytes
この時点で、ある程度の専門知識があれば、異常に気づいてサイトを離れるだろう。しかし、サイバー犯罪者が専門知識のない人々を標的にしていることを忘れてはならない。注意深いユーザーであっても、急いでいたり、注意散漫になっていたりすれば、こうしたわなに陥る可能性がある。
この手順に従うと、テキスト文字列がWindowsのクリップボードにコピーされる。通常、この種の操作には許可が必要となる。しかし、CAPTCHA認証の最初の画面でチェックボックスにチェックを入れることで、既に許可は与えられている。
Windowsの「ファイル名を指定して実行」(下図)に見られるように、文字列は単に「I'm not a robot -- reCAPTCHA Verification ID: 8253」と表示される。しかし、背後には別の文字列があり、「Mshta.exe」というWindowsコマンドを実行するものである。通常、この実行ファイルはコード実行のための正当かつ安全なコマンドとして使用される。しかし、ハッカーや攻撃者はこれを悪用し、マルウェアのダウンロードやインストールを可能にする。
提供:Malwarebytes
このケースでは、Mshtaはウェブサイトから悪意のあるメディアファイルをダウンロードする。ファイル名は無害に見えるかもしれない。Malwarebytesは、mp3、mp4、jpg、jpeg、swf、htmlなどの拡張子を持つファイルを確認していると述べている。しかし、ファイル自体には、実際のシステムに悪影響を与えるコードを密かにダウンロードして実行させるための、エンコードされたPowerShellコマンドが組み込まれている。
これまで、ダウンロードされたマルウェアはほとんどの場合、「Lumma Stealer」という情報窃取型マルウェアだった。しかし、最近の攻撃活動では、攻撃者は代わりに「SecTopRAT」を使用している。いずれにせよ、マルウェアはユーザーのPCに感染して機密データを盗むように設計されている。
攻撃への対応策は?
攻撃手法を把握することに加えて、この種の攻撃からどのようにして身を守ることができるのだろうか。Malwarebytesは、幾つかの対策を示している。
- ウェブサイトで与えられた指示には、よく考えずに決して従わないこと
- 悪意のあるウェブサイトやスクリプトをブロックするセキュリティプログラムとブラウザー拡張機能を使用すること
- 不特定のウェブサイトを閲覧する際には、ブラウザーで「JavaScript」を無効にすることが推奨される。Malwarebytesが指摘するように、この攻撃手法では、クリップボードへのアクセスはJavaScript関数を介して許可される。JavaScriptを無効にすることで攻撃を阻止できるが、多くの通常のサイトが利用できなくなる可能性がある。したがって、基本的にはJavaScriptをブロックしておき、特定のサイトに対してのみ許可を与えるという方法が望ましい
提供:ZDNET
この記事は海外Ziff Davis発の記事を朝日インタラクティブが日本向けに編集したものです。
