概要:大手ブランドを騙る巧妙なフィッシング
現在進行中のフィッシングキャンペーンは、Google WorkspaceおよびFacebookビジネスアカウントの認証情報を盗むことを目的としています。このキャンペーンでは、ユニリーバ、ディズニー、マスターカード、LVMH、ウーバーといった人気ブランドになりすまし、Calendlyを模倣した手口を用いています。
Push Securityが発見したこのキャンペーンは、その高度な標的型アプローチと、高い成功率を狙ったプロフェッショナルな手口が特徴です。マーケティングアカウントへのアクセスは、脅威アクターにとってマルバタイジングキャンペーンの実施、マルウェアの配布、ClickFix攻撃の実行、さらにはサイバー犯罪者へのアカウント転売のための足がかりとなります。また、Google Workspaceアカウントは、SSOや寛容なIdP構成を通じて、エンタープライズ環境やビジネスデータにまで影響を及ぼす可能性があります。
Calendlyを悪用したフィッシングの手口
Calendlyは、会議の主催者がリンクを送り、受信者が空いている時間帯を選べる正当なオンラインスケジュールプラットフォームです。これまでもフィッシング攻撃に悪用されてきましたが、今回のキャンペーンでは著名なブランドを利用して信頼と親近感を悪用しています。
攻撃は、脅威アクターが有名ブランドのリクルーターになりすまし、ターゲットに偽の会議招待状を送るところから始まります。驚くべきことに、これらのリクルーターは実在する従業員であり、フィッシングのランディングページでもそのように偽装されています。フィッシングメールはAIツールを使って作成されたと考えられており、LVMH、レゴ、マスターカード、ウーバーを含む75以上のブランドになりすましています。
攻撃の流れと標的アカウント
被害者がリンクをクリックすると、偽のCalendlyランディングページに誘導され、そこでCAPTCHAが表示されます。その後、訪問者のGoogle Workspaceログインセッションを盗もうとするAiTM(Adversary-in-the-Middle)フィッシングページが表示されます。
Push Securityは、このキャンペーンがGoogle MCC広告マネージャーアカウントを標的としていることを確認しました。また、別の変種では、ユニリーバ、ディズニー、レゴ、アーティザンになりすましてFacebookビジネスの認証情報を狙っていました。さらに最近の変種では、Browser-in-the-Browser (BitB) 攻撃を利用し、正規のURLに見せかけた偽のポップアップウィンドウを表示することで、GoogleとFacebookの両方の認証情報を標的としています。
高度な対抗策とマルバタイジングキャンペーン
フィッシングページには、VPNやプロキシトラフィックのブロック、開発者ツールのオープン防止など、分析回避メカニズムが組み込まれています。
同時に、Google Ads Managerアカウントを標的とした別のマルバタイジングキャンペーンも確認されています。これは、Google検索で「Google Ads」を検索したユーザーが悪意のあるスポンサー広告をクリックし、Google Adsテーマのフィッシングページにリダイレクトされ、その後Googleログイン画面を装ったAiTMフィッシングページに誘導されるというものです。このキャンペーンは、Odooにホストされ、Kartra経由でルーティングされるケースが複数確認されています。
予防策:重要なアカウント保護のために
AiTM技術は2要素認証(2FA)を迂回するため、重要なアカウントの所有者には以下の対策が推奨されます。
- ハードウェアセキュリティキーを使用する。
- 認証情報を入力する前に、必ずURLを確認する。
- ログインポップアップをブラウザウィンドウの端までドラッグし、その正当性を検証する。
また、IAM(Identity and Access Management)のサイロを解消することも重要です。