ハッカーは偽のCAPTCHAページを使用してWindows向けのマルウェアを拡散しました

悪意のある攻撃者が偽のCAPTCHAページを利用する方法

新しい研究者は、ハッカーがWindowsユーザーを騙してPowerShellスクリプトを実行させる脆弱性を発見しました。この「Stealthy StealC Information Stealer」と呼ばれるスクリプトは、ブラウザからデータを盗み、暗号通貨ウォレットのパスワード、SteamやOutlookのアカウント情報を取得し、スクリーンショットとともに管理サーバーへ送信します。

攻撃プロセスで何が起こるか？
1. 偽CAPTCHAページ

ハッカーは通常のCAPTCHAページに見える偽の検証インターフェースを配置します。ユーザーは「Windows + R」（実行ダイアログを開く）と「Ctrl + V」（クリップボードから貼り付ける）のキーコンビネーションを押すよう求められます。

2. PowerShellのバッファ起動

事前にPowerShellスクリプトがクリップボードにロードされており、ユーザーは指示通りに手動で実行します。コマンドの悪意を知らずに実行してしまいます。

3. コードのダウンロードと拡散

スクリプト起動後、リモートサーバーへ接続し追加の悪質コードをダウンロードします。通信はRC4プロトコルで暗号化されるため、標準的なセキュリティツールでは検出が難しくなります。

危険性は？
- 従来の保護機構を回避：ファイルダウンロードブロックはスクリプトがすでに実行されているため効果が薄い。
- 盗まれるデータ範囲が広い：ブラウザパスワードから暗号通貨キー、人気サービスのアカウント情報まで。
- ユーザーには目立たない：安全チェックのように見えるので悪意あるソフトウェア実行とは認識されない。

対策は？
| 対策 | 内容 |
|---|---|
| PowerShell使用制限 | 署名なしスクリプトの実行を禁止するポリシーを設定 |
| Windows アプリケーションコントロール | AppLockerなどでプログラム実行を監視・制御 |
| 出口トラフィックモニタリング | RC4暗号化されたHTTP通信など疑わしい接続を検知しブロック |

これらの推奨事項に従うことで、ユーザーがこの種の攻撃の犠牲になるリスクを大幅に低減できます