Netskopeはこのほど、「New Evasive Campaign Delivers LegionLoader via Fake CAPTCHA & CloudFlare Turnstile - Netskope」において、人間確認ツールの「CAPTCHA」および「CloudFlare Turnstile」を使用する新しいマルウェア配布キャンペーンを発見したと報じた。

  • New Evasive Campaign Delivers LegionLoader via Fake CAPTCHA & CloudFlare Turnstile - Netskope

    New Evasive Campaign Delivers LegionLoader via Fake CAPTCHA & CloudFlare Turnstile - Netskope

侵害経路

Netskopeによると、初期の侵害経路にはPDFファイルが悪用されたという。近年のWebブラウザにはPDFビューワが標準搭載されており、これがドライブバイダウンロードとして悪用された。具体的には、被害者が特定の文書を検索してWebサイトにアクセスするとPDFファイルが自動的に表示される動作を利用する。

  • 偽のCAPTCHAを含むPDFファイルを表示する例 - 引用:Netskope

    偽のCAPTCHAを含むPDFファイルを表示する例 引用:Netskope

PDFファイルには偽のCAPTCHA画像が含まれており、画像をクリックするとCloudFlare Turnstileにリダイレクトされる。CloudFlareによる人間確認をパスすると、Webブラウザの「通知」を要求し、許可された場合は再度CloudFlare Turnstileにリダイレクトする。

  • Webブラウザーの通知許可を求める例 - 引用:Netskope

    Webブラウザの通知許可を求める例 引用:Netskope

2度目の人間確認をパスすると、ClickFix戦術を用いる悪意のあるWebサイトにリダイレクトされる。被害者がWebブラウザに表示された手順に従い操作すると、cURLコマンドを使用して悪意のあるMSIファイルがダウンロードされる。

被害者がこのMSIファイルを実行すると、おとりのPDFビューワを起動して被害者を安心させ、バックグラウンドでマルウェアローダー「LegionLoader」を展開、実行する。LegionLoaderはさらに複数の手順を実行し、最終的に悪意のあるWebブラウザ拡張機能「Save to Google Drive」をインストールする。

  • 最終的にインストールされる悪意のあるWebブラウザー拡張機能 - 引用:Netskope

    最終的にインストールされる悪意のあるWebブラウザ拡張機能 引用:Netskope

目的は機密情報窃取の可能性

Netskopeの分析によると、この拡張機能はGoogle Chrome、Microsoft Edge、Brave、Operaなど複数のWebブラウザに対応しているという。また、次の機能を備えており、機密情報および暗号資産の窃取が目的とみられている。

  • Cookie、閲覧履歴、システム関連の機密情報の窃取
  • ビットコイン関連情報の窃取

徹底した検出回避の試み

攻撃者は人間確認ツールとWebブラウザの通知許可を繰り返し求めることで、セキュリティ企業の自動調査を徹底的に排除している。さらに初期の感染経路となるPDFファイルに悪意のあるコードを含めず、Webブラウザへの表示を可能にしている。

このようにセキュリティソリューションの検出を回避する手法は進化を続けており、注意が必要。Netskopeは調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「NetskopeThreatLabsIOCs/Malware/LegionLoader/IOCs at main · netskopeoss/NetskopeThreatLabsIOCs · GitHub」で公開しており、必要に応じて活用することが望まれている。