HuluCaptcha — FakeCaptchaフレームワークの事例

佐々山 Tacos

2025.06.03

HuluCaptcha — FakeCaptchaフレームワークの事例

Gi7w0rm – June 2, 2025

Captcha認証に見せかけた偽サイトを使い、有害なPowershellコマンドを実行するようユーザーを誘導する手法「FakeCaptcha」。すでに有名で広く採用されるこの手法を用いた独特なフレームワーク「HuluCaptcha」について、脅威インテリジェンスアナリストのGi7w0rm氏が調査結果を詳細に報告した。この調査は、同氏の友人がドイツ国際法協会のWebサイト（dvir[.]de）からリダイレクトされた先の偽Cloudflare Captchaサイトを通じてFakeCaptchaの被害に遭ったことを受けて開始されたという。

FakeCaptcha攻撃とは

そもそもCaptchaとは、Webサイトのオーナーがボット（自動トラフィック）と人間の訪問者とを区別するために採用する正当な手法。認証方法としては、ボタンをクリックするだけのものから、画像を使った簡単なパズルのようなものを解かせるものまでさまざまだが、いずれも人間には簡単だがコンピューターには難しいと思われるタスクが採用されている。

この認証プロセスを悪用するのがFakeCaptchaで、攻撃者は本物そっくりなCaptcha画面（Google RecaptchaやCloudflare Turnstileなどを模倣したもの）を作成し、最終的にデバイス侵害に繋がるタスクを用意する。この「タスク」として最も一般的なのがWindows Runコマンドを通じて有害なコードを実行させるというもので、今回のHuluCaptchaでも同様のタスクが使用されている。

元サイトへのリダイレクト失敗時は動画配信サイトへ「Hulu」へリダイレクト

Gi7w0rm氏によると、HuluCaptchaはその他のより高度なFakeCaptchaと同様に、ターゲットユーザーが偽Captchaページを訪れている際に複数のトラッキングリクエストを用いるという。これにより攻撃者は、ユーザーがCaptcha認証プロセスを開始したかどうかや、「Windows」キーと「R」キーが同時に押下されたかどうか、偽の認証プロセスが成功したかどうかを追跡。成功が確認されると、ユーザーはもともと訪れようとしていた正規サイトへリダイレクトされる。

しかし、元のサイトへのリダイレクトが上手くいかない場合にユーザーがリダイレクトされるのは、動画配信サイト「hulu.com」。この奇妙な仕様が、Gi7w0rm氏が同FakeCaptchaフレームワークに「HuluCaptcha」と名付ける由来となった。

Powershellコマンドの自動作成

HuluCaptchaの最も興味深い機能として、Gi7w0rm氏はPowershellコマンドの自動作成機能を挙げている。これは、ハードコードされた9つのドメイン（”amoliera.com”, “www.amoliera.com”, “core.amoliera.com”, “amoliera.info”, “www.amoliera.info”, “core.amoliera.info”, “amoliera.org”, “www.amoliera.org”, “core.amoliera.org“）の中から1つをランダムに選び、これを使って事前に定義された10件のPowerShellコマンドのうちの1つを実行させるというもの。

ただ、現在何かしらの理由でこの機能は使われていない。しかしこのPowerShellペイロードジェネレータは合計90種類の異なるペイロードを生成できるものであり、あるペイロードがユーザーのセキュリティソリューションをバイパスできなくても別のペイロードはバイパスできる、といったことも想定されることから、この機能が実装された場合、感染成功数は今より高くなり得るとGi7w0rm氏は指摘している。

アフィリエイト追跡機能

HuluCaptchaには、「アフィリエイトトラッキング」メカニズムと思われるものが備わっているという。現在のURL内で「refid」パラメータ（ドメインかIPを含むものと思われる）がセットされているかどうかが確認され、セットされている場合にはその値がrefidというlocalStorageアイテムに保存されて、ソースホストネームがrefidの隠しiframe（サンクスページ）が呼び出される。現在この機能が使われている様子はないものの、Gi7w0rm氏は背後にいる脅威アクターがHuluCaptchaのキャンペーンを「より大きな終いオア０インストールまたは初期アクセスオペレーション」へ成長させようとしていることを意味しているかもしれない、と指摘した。

感染サーバーの調査

Gi7w0rm氏は、HuluCaptchaの展開に使われたドイツ国際法協会のWebサイト（dvir[.]de）のサーバーの調査も行っている。この結果、ハッカーは何らかの手段でこのサイトを侵害し、ログが入手可能な一番早い日付である2025年4月10日にはすでに有効なログイン情報を入手していたことが判明。ハッカーはこの日、「core-handler2」というWordPressプラグイン形式のバックドアを展開していた。バックドアのコードにはロシア語のコメントがいくつか見つかったほか、作成過程でLLMが使われたことを示唆するコメントもあったという。

同バックドアを展開後、ハッカーは隠し管理者アカウントを作成。さらに別のバックドアも追加するなどした上で、最終的に偽Captchaへのリダイレクトを実現するためのコードを実装したとされる。

またGi7w0rm氏は、WordPressのサポートフォーラムでwoodslabs[.]caという別のサイトのオーナーが「wp-content/plugins/core-handler2/core-handler.php」に関連するエラーについて書き込んでいたのを発見。さらに複数のサイト運営者が同様のインシデントについて報告していたことから、core-handler2を用いたキャンペーンで複数の被害が出ている可能性が伺えるという。

FakeCaptchaフレームワークの動向に引き続き警戒を

多様な脅威アクターがFakeCaptchaフレームワークを構築するようになる中で、HuluCaptchaは被害者のトラッキングに興味深いアプローチを使用している点や、ペイロード生成のアルゴリズムを備えている点、またアフィリエイト追跡システムを構築しようとしている点などが注目に値する。

また、ターゲットになったWebサイトにはドイツ国際法協会のサイトなど高価値なサイトがあり、攻撃者が機微なデータを入手するに至った可能性もある。こうした点や、過去に「Kongtuke」のようなフレームワークがランサムウェアアクセスサービスへと成長した事例もあることから、HuluCaptchaのような脅威の動向を注視し続けることは重要だとGi7w0rm氏は指摘している。なお、HuluCaptchaの標的になったとされるサイトのリストなどは同アナリストのブログ記事の「IoC」セクションで確認できる。

【無料配布中！】ディープ＆ダークウェブ関連レポート

弊社が作成したレポート『ディープ＆ダークウェブにおけるSNSアカウント売買とディープフェイク』を無料配布中です！

ネット上の匿名性を悪用した不正や犯罪が日本においても大きな脅威となる中、弊社アナリストが過去 1 年間のディープ & ダークウェブ上の投稿データを調査。「SNS アカウント売買」「ディープフェイク」という切り口から、ネット上の匿名性を悪用する脅威アクターらの実態をレポートにまとめました。

無料ダウンロードはこちらのバナーから：