ハッカーは偽のreCAPTCHAポップアップを使ってマルウェアをインストールし、暗号資産を盗む

サイバーセキュリティグループの eSentire は、ClickFix と呼ばれる手法を悪用して、偽の CAPTCHA スタイルのポップアップを使用して被害者を騙し、dent情報収集マルウェアである Amatera Stealer および NETSupport RAT をインストールさせていることを発見しました。

eSentireの脅威対応ユニット（TRU）は、11月にClickFixを悪用して標的システムへの初期アクセスを獲得するキャンペーンの激化を tracしてきました。TRUによると、脅威アクターはこの手法を用いてソーシャルエンジニアリングを行い、Windowsの「ファイル名を指定して実行」プロンプトから悪意のあるコマンドを手動で実行するよう被害者に仕向けています。 

これらのコマンドが実行されると、感染チェーンが開始され、最終的に Amatera Stealer と NetSupport RAT が展開されます。これらはどちらも、サイバー犯罪者が不正なリモート アクセスに転用した正規のリモート監視ツールです。

ClickFixキャンペーンはreCAPTCHAを使ってマルウェアを侵入させる

eSentireが 発表した 、ハッカーは偽のウェブサイトや「セキュリティチェック」に見せかけたポップアップを使って被害者を誘い込んでおり、その中には偽のreCAPTCHA認証ボックスや偽のCloudflare Turnstileページなどが含まれている。 

欺瞞的なインターフェースは、ユーザーに想定される問題を「修正」するよう促し、その指示に従って、リスクを認識させることなく有害なコマンドを実行させます。最初のコマンドが実行されると、まずAmatera Stealerが配信され、続いてNetSupport Managerがインストールされます。これにより、ハッカーは侵入先のマシンをまるで物理的にそこにいるかのように監視・制御できるようになります。

Amatera Stealerは全く新しい脅威ではなく、ACR Stealer（別名AcridRain）の最新進化形です。以前のバージョンは、2024年にハッカーフォーラムでMaaS（Malware as a Service）製品として初めて登場し、複数のユーザーがサブスクリプションパッケージを通じて導入しました。

ACRの販売は、2024年半ばにSheldIOとして知られる開発者がマルウェアのソースコードを販売したことで停止されました。販売発表にもかかわらず、開発者グループは開発が「これで終わりではない」と表明しました。研究者たちは現在、AmateraがACRの直接の後継であり、より多くの機能と新たな回避技術を備えて再構築されたと考えています。

セキュリティ監査会社 Proofpoint が 6 月に発見した Amatera は、月額 199 ドルから年間 1,499 ドルまでのサブスクリプション ベースで利用できる。

eSentireは、「Amateraは、暗号資産ウォレット、ブラウザ、メッセージングアプリケーション、FTPクライアント、メールサービスを標的とした広範なデータ窃取機能を脅威アクターに提供します。サンドボックス、アンチウイルスソリューション、EDR製品で使用されるユーザーモードフックメカニズムを回避するために、WoW64 SysCallsなどの高度な回避戦略を採用しています」と述べています。

このマルウェアは C++ で書かれており 収集 することができます。 

マルウェアを隠蔽する多段階 Windows PowerShell ローダー

eSentire の脅威分析によると、Amatera の感染プロセスは難読化された PowerShell コマンドの複数の層に基づいて構築されています。 

TRUの研究者たちは、あるフェーズで「AMSI_RESULT_NOT_DETECTED」という文字列のXOR演算を用いて後続のペイロードを復号しているのを確認しました。これはMicrosoftのマルウェア対策スキャンインターフェースに関連する用語です。ローダーの開発者は、動的解析を行う研究者を混乱させるために、このフレーズを意図的に選択した可能性があります。

これらのキャンペーンで最も多く配信されるペイロードはAmateraですが、eSentireは、同じローダーがLummaやVidarなどの他のインフォスティーラーの展開にも使用された事例も記録しています。一部のサンプルには、マルチステージローダーの実行に必要な設定パラメータが欠落しており、ハッカーは代わりにNetSupport Managerを直接展開することを選択しました。

eSentireをはじめとするセキュリティ企業は、請求書を装ったVisual Basic Sc​​riptファイルを配布するメールキャンペーンを記録しています。ファイルを開くと、バッチスクリプトが実行され、XWormを配信するPowerShellローダーが起動されます。

その他のキャンペーンでは、侵害されたウェブサイトが訪問者をClickFixのプロンプトを模倣した偽のCloudflare認証ページにリダイレクトしていました。この活動は、SmartApeSG、HANEYMANEY、ZPHPといった名称で知られる攻撃と関連付けられており、いずれも最終ペイロードとしてNetSupport RATを搭載していました。

ハッカーは、偽の CAPTCHA チェックをホストする不正な Booking.com Web サイトを構築し、ユーザーに Windows の [ファイル名を指定して実行] ダイアログを開いてコマンドを実行するよう指示し、感染したシステムに認証情報を盗むスクリプトを直接インストールしていdentた。

の一部では フィッシングキャンペーン 、「Cephas」と呼ばれる新しいフィッシングキットが使用されています。サイバーセキュリティソリューション企業Barracudaによると、Cephasは高度な難読化手法を用いてフィッシングページのソースコードに目に見えない文字を挿入し、自動スキャナによる検出を困難にしています。

「このキットは、ソースコード内にランダムな目に見えない文字を作成することでコードを隠蔽し、フィッシング対策スキャナーを回避したり、署名ベースのYARAルールがフィッシングの手法と完全に一致するのを妨害したりする」と、バラクーダは 述べている 先週の分析で