偽のCAPTCHAの波がユーザーにWindows上でPowerShellを実行させ、暗号通貨窃盗者Lumma Stealerを引き起こしています。DNSFilterの分析によると、72時間で23回のインタラクションが記録され、訪問者の17%が画面に表示された指示に従いました(DNSFilter)。即座の結果:暗号通貨ウォレットが空になり、資金が3分以内に洗浄されました。2025年8月14日から17日までにブロックされたページを分析したインシデントレスポンスチームによって収集されたデータによると、資金の最初の転送を防ぐための運用ウィンドウはしばしば180秒未満です。業界アナリストはまた、説得力のあるオーバーレイを使用したキャンペーンは、DNSFilterによって検出された17%と一致する12%から20%のコンバージョン率を記録していることに注意しています。キー データ: コマンド実行時の「変換」の17%。戦術:アンチボットチェックをシミュレーションし、PowerShellの実行をガイドする検証オーバーレイ。影響:資格情報、クッキー、2FA、およびウォレットの暗号の盗難とほぼ即時のマネタイズ。誤ったCAPTCHAの例で、「手動」確認を促すもの:見逃してはいけない警告サイン。詐欺の仕組み: 偽の「私はロボットではありません」からインメモリマルウェアまで偽のCAPTCHAは、クラシックな「私はロボットではありません」を模倣していますが、アクセスを検証する代わりに、ユーザーにWindows+Rを押してコマンドを貼り付けるよう促します。これにより、PowerShellの実行が開始され、Lumma StealerにリンクされたDLLがメモリにダウンロードされて読み込まれます。通常、従来のウイルス対策ソフトウェアを回避するためにファイルレス技術を使用します。マルウェアは、AMSI (アンチマルウェアスキャンインターフェース)のようなランタイム制御を無効にしたり回避したりして、メモリにロードされたペイロードを隠すことができます。興味深い点は収集の速度です:アクティブになると、マルウェアは保存されたパスワード、クッキー、セッショントークン、2FAコード、および暗号通貨ウォレットデータを抽出します。DNSFilterによって観察されたケース: 正当なサイトにオーバーレイ警告は、管理されたプロバイダーがヨーロッパの銀行サイトで検証オーバーレイを検出したときにトリガーされました:それは偽のDNSエラーを表示し、「手動検証」を要求しました。ユーザーは次にPowerShellを実行するようにガイドされ、Lummaペイロードのダウンロードと実行が開始されました。3日間で、23の同様のページがブロックされました;提案された手順に従ったユーザーはほぼ6人に1人であることに注意すべきです。3分での盗難のタイムラインエントリー: ユーザーが正当なサイトまたはクローンページを訪問する; DNSエラーを伴う偽のCAPTCHAが表示される。ソーシャルエンジニアリング: ページは「検証」アクセスをWindows+Rと事前コンパイルされたコマンドで行うように誘います。実行: PowerShellはAMSIのようなコントロールを無効にし、Lumma Stealer DLLをロードし、メモリに残ります (fileless).エクフィルトレーション:マルウェアは、ブラウザの資格情報、クッキー、2FA、シード、および暗号のウォレットデータを収集します。マネタイズ:キーはDEXやミキサーで資金を転送するために使用されます;マネーロンダリングは数分で発生します。スプレッド、バリアント、および関連ドメインこのキャンペーンは、ブロックを回避するためにドメインやグラフィックを変更しながら、狭い範囲で繰り返し検出されています。すべてのバリアントがファイルレスであるわけではなく、一部は「バリファイア」として偽装された実行可能なダウンロードを提供しています。この文脈において、類似のキャンペーンで観察されたドメインにはhuman-verify-7u.pages.devやrecaptcha-manual.shopがあります。なぜ暗号通貨の回復がこれほど困難なのかスピードは攻撃の主要な武器です。一度盗まれると、資金はDEXやトランザクションを断片化する自動化ツールに移されます。このため、オンチェーン分析チームは、マネーロンダリングが数分で発生する可能性があると報告しており、回収が非常に複雑になることを示しています。テクニカルインジケーター (for SOC/IT)観測されたドメイン/URL:human-verify-7u.pages.dev、recaptcha-manual.shop、「human-verify」および「recaptcha-manual」サブドメインのバリアント。戦術、技術、手順 (TTP): オーバーレイによるソーシャルエンジニアリング; AMSI無効化でのPowerShell実行; メモリ内のDLL読み込み (ファイルレス); ブラウザとウォレットからの資格情報収集。エンドポイント異常信号: explorer.exe/win+r によって起動された powershell.exe プロセス; 実行後の即時ネットワーク活動; ブラウザプロファイルディレクトリへのアクセス。ページパターン:フェイクDNSエラー + Windows+Rの組み合わせによる「手動確認」の要求と「コピー/ペースト」。法的通知:IOCを責任を持って共有してください;実行可能なコマンドやペイロードの拡散は避けてください。クイックガイド:即時防御ウェブページやポップアップで提案されたコマンドを貼り付けないでください。疑わしいドメインとマルバタイジングカテゴリに対してDNSブロックとコンテンツフィルタリングを設定します。非管理者ユーザーに対するPowerShellスクリプトの実行を制限し、可能な場合は制約付き言語モードを有効にします。メモリ内のプロセスにルールを設定して、AMSIおよびEDRソリューションを有効化および監視します。ブラウザとは別にウォレットを使用し、ハードウェアウォレットを推奨します。ブラウザでのパスワード保存を無効にし、MFAを使用したパスワードマネージャーを利用してください。敏感なサイトでのフィッシングや偽のCAPTCHAの実例を使ってユーザーを教育する。企業向け対策新しく登録されたドメインおよび「人間確認/recaptcha-手動」パターンのためのネットワークセグメンテーションとプロキシ/DNSレベルでのブロック。管理されたデバイスのポリシークリップボード; サイトがコマンドのコピー/ペーストを誘発する場合に警告。プロセスインジェクションのチェーン上およびpowershell.exeの異常な実行に関する脅威ハンティング。即時エスカレーションプレイブック:ホスト分離、セッション取り消し、認証情報のローテーション、トークンとクッキーの無効化。盗難後の損害を制限する直ちにデバイスを隔離し、重要なサービスでのアクティブセッションを取り消してください。シードフレーズを再生成し、資金を安全で妥協のないウォレットに移動します。ブラウザとは独立したアプリでMFAを有効にしてください。クッキーや同期セッションに関連するメカニズムは避けてください。FAQ偽のCAPTCHAを認識する方法は?Windows+Rを要求したり、コマンドのコピー/ペーストや「検証ツール」のダウンロードを求めるページには注意してください。疑わしい場合は、URLを確認し、そのページを閉じてください。常にファイルレス攻撃ですか?いいえ。一部のバリアントは従来の実行可能ファイルをダウンロードし、他のものはディスク上の痕跡を減らすために完全にメモリ内で動作します。彼らはどのデータを盗もうとしているのか?ブラウザの資格情報、クッキー、2FA、データおよびウォレット暗号の鍵。ソースとインサイト
偽のCAPTCHA、暗号は3分で消えました:Lumma StealerのPowerShellトリックは1を欺く...
偽のCAPTCHAの波がユーザーにWindows上でPowerShellを実行させ、暗号通貨窃盗者Lumma Stealerを引き起こしています。DNSFilterの分析によると、72時間で23回のインタラクションが記録され、訪問者の17%が画面に表示された指示に従いました(DNSFilter)。即座の結果:暗号通貨ウォレットが空になり、資金が3分以内に洗浄されました。
2025年8月14日から17日までにブロックされたページを分析したインシデントレスポンスチームによって収集されたデータによると、資金の最初の転送を防ぐための運用ウィンドウはしばしば180秒未満です。業界アナリストはまた、説得力のあるオーバーレイを使用したキャンペーンは、DNSFilterによって検出された17%と一致する12%から20%のコンバージョン率を記録していることに注意しています。
キー データ: コマンド実行時の「変換」の17%。
戦術:アンチボットチェックをシミュレーションし、PowerShellの実行をガイドする検証オーバーレイ。
影響:資格情報、クッキー、2FA、およびウォレットの暗号の盗難とほぼ即時のマネタイズ。
誤ったCAPTCHAの例で、「手動」確認を促すもの:見逃してはいけない警告サイン。
詐欺の仕組み: 偽の「私はロボットではありません」からインメモリマルウェアまで
偽のCAPTCHAは、クラシックな「私はロボットではありません」を模倣していますが、アクセスを検証する代わりに、ユーザーにWindows+Rを押してコマンドを貼り付けるよう促します。これにより、PowerShellの実行が開始され、Lumma StealerにリンクされたDLLがメモリにダウンロードされて読み込まれます。通常、従来のウイルス対策ソフトウェアを回避するためにファイルレス技術を使用します。
マルウェアは、AMSI (アンチマルウェアスキャンインターフェース)のようなランタイム制御を無効にしたり回避したりして、メモリにロードされたペイロードを隠すことができます。興味深い点は収集の速度です:アクティブになると、マルウェアは保存されたパスワード、クッキー、セッショントークン、2FAコード、および暗号通貨ウォレットデータを抽出します。
DNSFilterによって観察されたケース: 正当なサイトにオーバーレイ
警告は、管理されたプロバイダーがヨーロッパの銀行サイトで検証オーバーレイを検出したときにトリガーされました:それは偽のDNSエラーを表示し、「手動検証」を要求しました。ユーザーは次にPowerShellを実行するようにガイドされ、Lummaペイロードのダウンロードと実行が開始されました。3日間で、23の同様のページがブロックされました;提案された手順に従ったユーザーはほぼ6人に1人であることに注意すべきです。
3分での盗難のタイムライン
エントリー: ユーザーが正当なサイトまたはクローンページを訪問する; DNSエラーを伴う偽のCAPTCHAが表示される。
ソーシャルエンジニアリング: ページは「検証」アクセスをWindows+Rと事前コンパイルされたコマンドで行うように誘います。
実行: PowerShellはAMSIのようなコントロールを無効にし、Lumma Stealer DLLをロードし、メモリに残ります (fileless).
エクフィルトレーション:マルウェアは、ブラウザの資格情報、クッキー、2FA、シード、および暗号のウォレットデータを収集します。
マネタイズ:キーはDEXやミキサーで資金を転送するために使用されます;マネーロンダリングは数分で発生します。
スプレッド、バリアント、および関連ドメイン
このキャンペーンは、ブロックを回避するためにドメインやグラフィックを変更しながら、狭い範囲で繰り返し検出されています。すべてのバリアントがファイルレスであるわけではなく、一部は「バリファイア」として偽装された実行可能なダウンロードを提供しています。この文脈において、類似のキャンペーンで観察されたドメインにはhuman-verify-7u.pages.devやrecaptcha-manual.shopがあります。
なぜ暗号通貨の回復がこれほど困難なのか
スピードは攻撃の主要な武器です。一度盗まれると、資金はDEXやトランザクションを断片化する自動化ツールに移されます。このため、オンチェーン分析チームは、マネーロンダリングが数分で発生する可能性があると報告しており、回収が非常に複雑になることを示しています。
テクニカルインジケーター (for SOC/IT)
観測されたドメイン/URL:human-verify-7u.pages.dev、recaptcha-manual.shop、「human-verify」および「recaptcha-manual」サブドメインのバリアント。
戦術、技術、手順 (TTP): オーバーレイによるソーシャルエンジニアリング; AMSI無効化でのPowerShell実行; メモリ内のDLL読み込み (ファイルレス); ブラウザとウォレットからの資格情報収集。
エンドポイント異常信号: explorer.exe/win+r によって起動された powershell.exe プロセス; 実行後の即時ネットワーク活動; ブラウザプロファイルディレクトリへのアクセス。
ページパターン:フェイクDNSエラー + Windows+Rの組み合わせによる「手動確認」の要求と「コピー/ペースト」。
法的通知:IOCを責任を持って共有してください;実行可能なコマンドやペイロードの拡散は避けてください。
クイックガイド:即時防御
ウェブページやポップアップで提案されたコマンドを貼り付けないでください。
疑わしいドメインとマルバタイジングカテゴリに対してDNSブロックとコンテンツフィルタリングを設定します。
非管理者ユーザーに対するPowerShellスクリプトの実行を制限し、可能な場合は制約付き言語モードを有効にします。
メモリ内のプロセスにルールを設定して、AMSIおよびEDRソリューションを有効化および監視します。
ブラウザとは別にウォレットを使用し、ハードウェアウォレットを推奨します。
ブラウザでのパスワード保存を無効にし、MFAを使用したパスワードマネージャーを利用してください。
敏感なサイトでのフィッシングや偽のCAPTCHAの実例を使ってユーザーを教育する。
企業向け対策
新しく登録されたドメインおよび「人間確認/recaptcha-手動」パターンのためのネットワークセグメンテーションとプロキシ/DNSレベルでのブロック。
管理されたデバイスのポリシークリップボード; サイトがコマンドのコピー/ペーストを誘発する場合に警告。
プロセスインジェクションのチェーン上およびpowershell.exeの異常な実行に関する脅威ハンティング。
即時エスカレーションプレイブック:ホスト分離、セッション取り消し、認証情報のローテーション、トークンとクッキーの無効化。
盗難後の損害を制限する
直ちにデバイスを隔離し、重要なサービスでのアクティブセッションを取り消してください。
シードフレーズを再生成し、資金を安全で妥協のないウォレットに移動します。
ブラウザとは独立したアプリでMFAを有効にしてください。クッキーや同期セッションに関連するメカニズムは避けてください。
FAQ
偽のCAPTCHAを認識する方法は?
Windows+Rを要求したり、コマンドのコピー/ペーストや「検証ツール」のダウンロードを求めるページには注意してください。疑わしい場合は、URLを確認し、そのページを閉じてください。
常にファイルレス攻撃ですか?
いいえ。一部のバリアントは従来の実行可能ファイルをダウンロードし、他のものはディスク上の痕跡を減らすために完全にメモリ内で動作します。
彼らはどのデータを盗もうとしているのか?
ブラウザの資格情報、クッキー、2FA、データおよびウォレット暗号の鍵。
ソースとインサイト