概要
GTFireは、世界中の組織から資格情報を盗む大規模なフィッシングスキームです。このキャンペーンでは、Google Firebase HostingとGoogle TranslateなどのGoogleサービスが悪用されており、不正なインフラストラクチャを隠し、セキュリティツールを回避しています。
攻撃の仕組み
GTFireは、偽のログインポータルをFirebase .web.appドメインでホストし、それらをtranslate.googリンク内に包んでいます。これはGoogleの信頼されたレピュテーションを利用しており、メールやウェブフィルタリングツールから逃れることができます。
被害状況
脅威インテリジェンスポータル(Group-IB)からの分析によると、GTFireのコマンド&コントロールインフラストラクチャには120以上のユニークなフィッシングドメインと、世界中の100カ国以上、200を超える業界で1,000以上の組織から盗まれた資格情報が関連付けられています。
被害の地理分布
GTFireは、メキシコ、アメリカ合衆国、スペイン、インド、アルゼンチンを含む多くの国で影響を受けています。特にメキシコでは385件の被害が確認されており、次いでアメリカ合衆国101件、スペイン67件、インド54件、アルゼンチン50件となっています。
攻撃手法
GTFireは、Firebaseの無料*.web.appホスティングを利用して、偽のログインページを迅速に立ち上げて回転させることができます。これによりコストが低減され、ドメインベースのブロックも困難になります。
データ収集と分析
これらのページはブランド固有のテンプレートをオンデマンドで読み込み、同じフィッシングフレームワークを使用しながらロゴや一部のアセットを交換することで、複数のサービスを模倣します。
Google Translateの悪用
攻撃者はtranslate.goog URLを提供し、そのURLは実際のフィッシングサイトをプロキシ化して真の目的地を隠すとともに遅延を引き起こします。これにより、ユーザーが最終的なFirebaseフィッシングページに到達するまでに長いリダイレクトチェーンが形成されます。
データ収集とハーベスティング
攻撃者は単一または二重のBase64エンコードされたデータをURLパラメータに含めることで、静的解析やシグネチャベースの検出を困難にしています。ユーザーが偽のログインページで資格情報を入力すると、攻撃者は「パスワードが間違っています」という偽のエラーを表示し、両方の提出を無音で外側に送信します。
防御策
セキュリティ担当者は、Firebaseサブドメイン生成パターン、translate.googリダイレクトチェーン、Base64重視のURLパラメータ、LiteSpeed/All-in-1 PHPエンドポイントなどのパターンに焦点を当てて、類似した信頼されたサービスフィッシングオペレーションを検出および阻止する必要があります。