Lumma Stealer、偽CAPTCHAを使ったClickFix手法で拡散

佐々山 Tacos

2025.04.23

Lumma Stealer、偽CAPTCHAを使ったClickFix手法で拡散

Securityonline[.]info – April 23, 2025

悪名高い情報窃取型マルウェアLumma Stealerの配布経路や感染チェーンの詳細などについて、カスペルスキーが報告。最近同社のチームが観測した、偽のCAPTCHAページでユーザーに悪意あるコマンドを実行させるという配布手法について詳しく説明している。

Lumma Stealerとは？

Lumma Stealerは2022年に「LummaC2」として登場して以来、急速にアンダーグラウンドフォーラムで人気を高めてきたインフォスティーラー。ダークウェブのマーケットプレイスやTelegramで250ドル〜の価格で出回っており、2025年3月の時点で、アクティブなサブスクライバーの数は1,000人を超える。盗み出すことのできる情報には、主に以下のようなものがある：

暗号資産ウォレットの認証情報（MetaMask、バイナンスなど）
2FAデータや認証用拡張機能の情報
ブラウザに保管されたパスワードとクッキー
AnyDeskなどのリモートツールに保管された認証情報
KeePassなどのパスワードマネージャーに保管された認証情報
システムやアプリケーションのデータ
クレジットカードなど、金銭に関わるデータ

偽CAPTCHAを使ったClickFixで始まる感染チェーン

Lumma Stealerは数多くのフィッシングベクターを使ってターゲットに感染するが、今回カスペルスキーのGERTが観測したのは偽のCAPTCHAページを使うという感染手法。なお同社は2024年10月にも同様の手法について紹介していたが、それ以降さらに新たな詳細が明らかになったという。偽CAPTCHAページはGoogleのreCAPTCHAまたはCloudflareのCAPTCHAを真似ており、海賊版コンテンツやクラックソフト、アダルトコンテンツ等を配信するサイトのクローン版や、暗号資産関連のTelegramチャンネルなどでホストされていることが多いという。なおTelegramチャンネルのケースでは、「Safeguard Captcha」ボットでの認証を求められたのち、偽のCAPTCHA画面がポップアップする。

この偽CAPTCHAはまず、ユーザーに「私はロボットではありません」「認証する」などと表記されたボタンを押すよう仕向ける。そしてこれをユーザーがクリックすると、以下のような通常では考えられない指示を出す。

「Windows」キーと「R」キーを押して「ファイル名を指定して実行」ダイアログを開き、
「Ctrl」キーと「V」キーを同時に押して、
「Enter」キーを押す

この過程でユーザーは気付かぬうちにPowerShellコマンドをクリップボードへ自動的にコピー。これが「ファイル名を指定して実行」ダイアログにペーストされ、Enterキーの押下により実行されてLummaの感染チェーンが始まってしまうという。

高度な感染チェーンが使われ、検出がより困難になるケースも

感染は主に、最初のコマンドによってダウンロードされた.zipファイルがLummaをダウンロード・抽出・実行することによって行われるが、一部のケースではより複雑な配布メカニズムが使われることもあるとカスペルキーは報告。こうしたケースでは、一見正規のものに思える.mp3や.pngファイルに仕込まれたJavaScriptコードが配布に使われるという。

先ほどの手口でユーザーにコマンドを「ファイル名を指定して実行」ダイアログへペーストさせることで、Microsoft HTMLアプリケーションのmshta.exeを使って同JavaScriptコードが実行されると、4つの階層から成る感染チェーンが開始。第4階層でダウンロードされる大容量のペイロードfirefire.pngには、アンチデバッグのテクニックや検出回避のメカニズムも備わっているとされる。

企業にとっても脅威に

こうした攻撃におけるLummaの主要なターゲットは個人ユーザーではあるものの、カスペルスキーは顧客企業のインシデントにおいてもLummaを発見している。このことから、Lummaが企業にとっても大きな脅威になりつつあることが示唆される。単純な認証情報の窃取が大規模なデータ侵害やランサムウェア攻撃に発展する場合もあることから、組織にも適切な対策の実施が求められる。