サイバーニュース.jp

世界のサイバーなニュースを配信

Google採用担当者になりすましたハッカーがGmailログイン情報を窃取

カテゴリ:

, , , , , , , , ,

概要

求職者を標的とした新たなフィッシングキャンペーンが確認されました。このキャンペーンでは、ハッカーがGoogle Careersの採用担当者になりすまし、一見すると正規のメールを送りつけ、被害者を悪意のあるサイトに誘導してGmailの認証情報を窃取しようとしています。

巧妙な多段階攻撃の手口

セキュリティ研究者たちは、Salesforceのインフラ、Cloudflareの保護、およびWebSocketのコマンド&コントロールを悪用した巧妙な多段階攻撃を発見しました。この攻撃は、被害者を欺いて機密情報を提出させることを目的としています。

  • フィッシングメールは、偽装されたSalesforceサブドメインから発信され、Googleの独占的なキャリア機会を謳う件名を使用しています。
  • メール内の「View the role」ボタンは、SalesforceのASN(自律システム番号)に属するIPアドレスにリンクしており、そこから被害者は偽のGoogle Careers応募ポータル(例:apply[.]grecruitingwise[.]com、CloudflareのASN)にリダイレクトされます。
  • CloudflareのCAPTCHA防御があるにもかかわらず、このサイトは個人情報とログイン情報を収集するための偽装サイトです。
  • クリックすると、ユーザーはまず氏名、電話番号、住所などの個人情報を要求する一般的なランディングページに誘導されます。このフォームは、攻撃者のバックエンドインフラに関連するドメインであるsatoshicommands[.]comにHTTP POSTでデータを送信します。
  • その後、被害者はGoogleのサインインフォームを装った二次ページにリダイレクトされ、そこでGmailアドレスとパスワードの入力を求められます。
  • 舞台裏では、不正なポータルが改ざんされた`main.js`をロードし、`hxxps://satoshicommands.com/`への永続的なWebSocket接続を確立し、2秒ごとにAJAXコールで`/gw.php`をポーリングします。
  • サーバーは「EMAIL」、「AUTH」、「SUCCESS」などのコマンドを発行し、OTP(ワンタイムパスワード)の提出、電話認証、多要素認証のプロンプトなど、次の段階へと被害者を誘導します。
  • 認証情報が提出されると、ユーザーは最終的な「Processing your request」ページを見た後、サイレントにリダイレクトされ、情報が侵害されたことに気づかないままとなります。

確認された亜種と兆候

OSINT(オープンソースインテリジェンス)調査により、数ヶ月前から同様のキャンペーン事例が確認されており、Redditのr/programmaticスレッドで被害者が同一のメールを報告し、URLScan.ioの分析でも同じ侵害ドメインが確認されています。追加で発見された悪意のあるホストには以下のものがあります。

  • apply[.]grecruitdigital[.]com
  • apply[.]grecruitbridge[.]com
  • apply[.]gtalentmatcher[.]com
  • apply[.]gstafftalent[.]com
  • apply[.]grecruitpro[.]com
  • gcandidatespath[.]com
  • gteamhirehub[.]com
  • gteamlineup[.]com
  • grecruitinglink[.]com
  • getintouchwithcareers[.]com

また、puma-remotejobcenter[.]vercel[.]app、hire[.]gtalenttrack[.]com、moburst-check[.]vercel[.]appなどのVercelアプリサブドメインで展開された亜種は、攻撃者がテイクダウンを回避するためにフィッシングサイトを動的に生成していることを示しています。

個人への推奨事項

組織および個人は、不審な採用担当者からのメールに返信する際には警戒を怠らないでください。以下の確認手順を実施してください。

  • 送信者のドメインを注意深く検査し、企業のキャリアページで公式の採用URLを確認してください。
  • クリックせずにリンクにカーソルを合わせ、目的地のホスト名を検証してください。
  • 明示的に要求していないCAPTCHAの背後にあるサイトには、決して認証情報を入力しないでください
  • Gmailで二要素認証を有効にし、予期せぬログイン試行がないか監視してください。

ネットワーク防御者への推奨事項

ネットワーク防御者は、既知の悪意のあるドメインをDNSレベルでブロックし、Salesforceサブドメインの偽装を検出するためのメールゲートウェイソリューションを展開することができます。定期的な脅威インテリジェンスの共有と、今回特定されたドメインやIPアドレスをカバーするインジケーターブロックルールは、この進化する脅威を軽減するのに役立ちます。

フィッシングの手口は、信頼されたブランドや堅牢なインフラを悪用することで、ますます巧妙になっています。サイバーセキュリティチームは、認証情報窃取攻撃を最初のクリックで阻止するために、多層防御とユーザーへの意識向上トレーニングを維持する必要があります。

元記事: https://gbhackers.com/hackers-posing-as-google-careers-recruiter-to-steal-gmail-login-details/

投稿をさらに読み込む