大規模なフィッシング キャンペーンでは偽の CAPTCHA を使用して Lumma Stealer マルウェアを拡散

サイバー犯罪者は、PDF ファイルに埋め込まれた偽の CAPTCHA 画像を通じて Lumma Stealer マルウェアを配信する新しい大規模なフィッシング キャンペーンで、活動を強化しています。Netskope Threat Labs によると、このキャンペーンはすでに 1,150 の組織で 7,000 人を超えるユーザーに感染しており、主に北米、アジア、南ヨーロッパのテクノロジー、金融サービス、製造業を標的にしています。

研究者らは、260 の異なるドメインでホストされている 5,000 件の悪意のある PDF を発見しました。その多くは、Webflow、GoDaddy、Strikingly、Wix、Fastly に属しています。攻撃者は SEO 操作を使用して、被害者を騙して検索エンジンの結果からこれらのドキュメントをクリックさせ、最終的にクレジットカードの詳細を盗むか、Lumma Stealer マルウェアでシステムを感染させるように設計されたサイトにリダイレクトします。

攻撃の仕組み

攻撃者は偽の CAPTCHA 画像を含む PDF ファイルを配布します。これらの CAPTCHA をクリックした被害者は悪意のある Web サイトにリダイレクトされ、そこで騙されて機密の財務詳細を入力するか、PowerShell ベースの攻撃によってマルウェアに感染します。

このキャンペーンの Lumma Stealer の亜種は、ClickFix テクニックを通じて展開され、ユーザーを騙して MSHTA コマンドを実行させます。このコマンドは、Lumma Stealer マルウェアを被害者のシステムにダウンロードしてインストールする隠し PowerShell スクリプトを実行します。

このキャンペーンで使用された主な戦術

• 検索エンジン最適化 (SEO) ポイズニング- 悪意のある PDF が PDFCOFFEE、PDF4PRO、PDFBean、Internet Archive などのオンライン ライブラリやリポジトリにアップロードされ、正当な検索結果に表示されるようになります。
• 偽の CAPTCHA 検証- CAPTCHA をクリックして自分自身を「検証」しようとする被害者は、知らないうちに悪意のあるコマンドを実行します。
• MSHTA および PowerShell エクスプロイト- この攻撃は、信頼できる Windows ユーティリティを使用してセキュリティ防御を回避し、マルウェアを実行します。
• 広範囲に広がるホスティング インフラストラクチャ– フィッシング PDF は数百のドメインに分散しているため、削除作業がさらに困難になっています。

Lumma Stealer: 増加中の危険なインフォスティーラー

Lumma Stealer は、侵害された Windows マシンから機密データを収集するように設計された、Malware-as-a-Service (MaaS) ツールです。ログイン認証情報、ブラウザーの Cookie、暗号通貨ウォレット、その他の貴重な情報を盗むことができます。

最近、Lumma のオペレーターは、Golang ベースのプロキシ マルウェアである GhostSocks と統合することで機能を拡張しました。これにより、脅威アクターは被害者のインターネット接続を利用して地理的制限を回避し、不正アクセスを検出する金融セキュリティ対策を回避できるようになります。

Lumma感染により盗まれた認証情報やデータは、2024年12月下旬に出現した比較的新しいハッキングマーケットプレイスであるLeaky[.]proなどのアンダーグラウンドフォーラムで頻繁に共有されています。

ClickFix 技術を悪用するその他の脅威

Lumma Stealer は、ClickFix フィッシング手法を悪用する唯一のマルウェアではありません。Zscaler ThreatLabz と eSentire の研究者は、次のようなマルウェアを配布するために同様の戦術が使用されていることを観察しています。

• ヴィダールスティーラー
• アトミック macOS スティーラー (AMOS)
• DeepSeek AI チャットボットをテーマにしたマルウェア

さらに、Juniper Threat Labs は、検出を回避するために Unicode 難読化手法を使用するフィッシング攻撃を発見しました。これらの攻撃では、バイナリ値がハングル文字 (U+FFA0 および U+3164) 内に隠されるため、セキュリティ ツールによる悪意のある JavaScript ペイロードの検出が困難になります。

Lumma Stealer や類似の攻撃から身を守る方法

このキャンペーンの巧妙さと規模を考慮すると、組織や個人はサイバーセキュリティ防御を強化するために直ちに行動を起こす必要があります。

• 疑わしい PDF リンクをクリックしないでください – 検索結果、電子メールの添付ファイル、または不明なソースから PDF をダウンロードするときは注意してください。
• CAPTCHA ページを検証する – 正当な CAPTCHA では、ファイルのダウンロードやスクリプトの実行は必要ありません。
• Webflow およびその他のホスティング サービスを監視する – セキュリティ チームは、ドメインの悪意のある使用を追跡し、疑わしいコンテンツを報告する必要があります。
• PowerShell および MSHTA の実行を制限する – 攻撃者が Windows ツールを悪用して悪意のあるコードを実行するのを防ぐために、グループ ポリシー制限を実装します。
• 従業員にフィッシングの手法を教育する – 偽の CAPTCHA、SEO ベースのフィッシング、その他のソーシャル エンジニアリングの戦術を認識できるようにスタッフをトレーニングします。
• 高度な脅威保護を導入する – エンドポイント検出および対応 (EDR) ソリューションを使用して、PowerShell の悪用、疑わしい Web トラフィック、およびインフォスティーラー マルウェア アクティビティを検出します。

最後に

このフィッシング キャンペーンは、サイバー犯罪者が Lumma Stealer やその他のマルウェアを配布する手法を進化させていることを浮き彫りにしています。攻撃者は、PDF での偽の CAPTCHA、SEO ポイズニング、高度な難読化手法を使用することで、従来のセキュリティ対策をうまく回避しています。

すでに何千人ものユーザーが侵害され、マルウェア配布の手口が拡大している中、企業は警戒を怠らず、従業員を教育し、進化する脅威から身を守るために強力なセキュリティ対策を実施する必要があります。