セキュリティ企業 Cofense は、セキュア メール ゲートウェイ (SEG) から偽の Microsoft ログイン ページを隠すために CAPTCHA ボックスを使用する新しいフィッシング キャンペーンを発見しました。
CAPTCHAシステムは、ぼやけた単語や画像内の物体を識別するなど、次のページに進む前に完了しなければならないチャレンジを作成します。これらのシステムは、悪意のある自動ボットによるページへのアクセスをブロックし、人間のみが通過できるようにすることを目的としています。
しかし、この最新のフィッシング キャンペーンの背後にいるグループは、CAPTCHA の一般的なボット対策の使用方法を逆転させ、マルウェア スキャナーが Web ページがユーザーの認証情報を盗むために作成されたかどうかをチェックするのを阻止するために CAPTCHA を使用しています。
多くの企業は、受信メールをマルウェアやフィッシング詐欺の標的としてスキャンするためにSEGを使用しています。しかし、SEGはCAPTCHAシステムを通過できるほど高度ではありません。CAPTCHAシステムは悪意のある攻撃者によって一般的に使用されることはなかったため、今回のケースではSEGベンダーは不意を突かれたように思われます。彼らのマルウェアスキャナーはCAPTCHAのチャレンジに対応できる準備ができていなかったのです。
「SEGは悪意のあるページにアクセスしてスキャンすることはできません。CAPTCHAコードサイトのみをスキャンできます。このウェブページには悪意のある項目が含まれていないため、SEGはこれを安全であるとマークし、ユーザーの通過を許可します」とCofenseの研究者は述べています。
電子メールの受信者が CAPTCHA テストに合格すると、Microsoft アカウントの資格情報を取得することを目的とした偽の Microsoft ログイン ページが表示されます。
悪意のあるフィッシングリンクを配信するメールは、avis.ne.jpの乗っ取られたメールアカウントから送信され、ボイスメールの通知を装っています。皮肉なことに、CAPTCHAとフィッシングページはどちらもMicrosoftのクラウドサーバー上にホストされています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
しかし、攻撃者は単にマイクロソフトを困らせるためだけにこれを行っているわけではありません。人間や自動スキャナーがページが不正であることを判別しにくくするためです。SEGは通常、メール内にあるリンクのドメインレピュテーションをチェックするため、マルウェアがマイクロソフト自身のパブリッククラウドサーバーにホストされている場合、レピュテーションテストは見事にクリアされます。
攻撃者はその手法を進化させており、通常は攻撃に利用されるツールを統合し、独自のマルウェアを展開し続けています。暗号署名、HTTPS暗号化、そして最近ではCAPTCHAシステムなどが、自動スキャナーによるマルウェアの検出を回避または阻止するためにますます利用されています。AI搭載のマルウェア対策システムでさえ、この手法から逃れることはできません。
