概要
Cyble Research and Intelligence Labs (CRIL) の最近の調査により、世界的に認知されたブランドや地域のブランドを悪用し、ユーザーの認証情報を窃取する高度なフィッシングキャンペーンが明らかになりました。このキャンペーンは、従来のフィッシング脅威とは異なり、巧妙に作成されたHTML添付ファイルを電子メールで直接配信し、多くの標準的なセキュリティ制御を回避しています。
巧妙な手口
攻撃者は、RFQ_4460-INQUIRY.HTMLのような無害なファイル名を持つHTML添付ファイルを電子メールで配布します。これらのファイルは、見積依頼書(RFQ)や請求書のような日常的なビジネス通信を模倣しており、受信者には添付文書を「表示するためにサインイン」するよう促します。ブラウザや互換性のあるPDFビューアで開くと、HTMLファイルはぼやけた請求書の背景と、Adobeなどの信頼できるブランドを模したログインプロンプトを表示します。
この手口の特異な点は、疑わしいURLや外部のウェブホスティングが含まれていないことです。悪意のあるコードはファイル内に直接埋め込まれており、認証情報が入力された瞬間からJavaScriptによる認証情報キャプチャプロセスが開始されます。
認証情報の窃取と流出
偽のログインモーダルに電子メールとパスワードが入力されると、被害者の認証情報、デバイスのIPアドレス、ユーザーエージェントデータが収集されるJavaScriptルーチンがトリガーされます。この収集されたデータは、HTTP POSTリクエストを介してTelegram Bot APIを使用し、攻撃者が制御するTelegramボットに流出します。この方法は、従来のコマンド&コントロール(C2)インフラストラクチャを迂回するため、セキュリティチームによる検出を困難にしています。
マルウェアの技術的詳細
このキャンペーンの技術的な洗練度を示す2つの代表的なマルウェアサンプルが分析されています。
- サンプル1: CryptoJS AES暗号化を使用し、認証情報、IP、デバイス情報を収集します。ユーザーに認証情報の再入力を求めることで成功率を高め、api.ipify.orgのようなサービスを使用して被害者のIPを確認し、情報窃取後には正規のAdobeウェブサイトにリダイレクトします。
- サンプル2: ネイティブのFetch APIを使用して認証情報を流出させ、「ログインが無効です」というエラーを表示して再入力を促します。また、アナリストが使用するキーボードショートカット、マウス操作、ブラウザツールをブロックすることでアンチフォレンジック機能を実装しています。
どちらの亜種も、認証情報の配信にTelegramボットに大きく依存しており、インフラストラクチャを分散させ、検出の課題をAPIベースの通信にシフトさせています。
標的ブランドと地域
攻撃者は、フィッシングキャンペーンのリーチと信頼性を最大化するために、様々なグローバルおよび地域のブランドを戦略的に模倣しています。Adobe、Microsoft、WeTransfer、DocuSign、FedEx、DHL、Telekom Deutschland、Roundcubeなどの有名ブランドが悪用されています。テンプレートとブランディングは、ターゲットとなる地域と業界に基づいてカスタマイズされ、ぼやけた背景やモーダルが頻繁に使用され、信憑性を高めています。
このキャンペーンは、チェコ共和国、スロバキア、ハンガリー、ドイツを含む中央および東ヨーロッパで特に活発です。農業、自動車、建設、メディア、政府、小売、製造、ITなど、調達関連の電子メールや文書ワークフローが日常的に行われる幅広い業界が標的となっています。
脅威のモジュール性と拡張性
脅威インフラストラクチャの分析により、複数のTelegramボットが関与していることが判明しており、これは複数の異なる脅威アクターの関与を示しています。攻撃者のモジュール型ツールキットは、迅速なブランド切り替えとローカライズを可能にし、検出をさらに複雑にしています。インフラストラクチャの再利用は一般的であり、テーマ別の亜種間で繰り返しボットトークンが使用されています。
キャンペーンの進化は、高度な難読化(AES暗号化を含む)、強化されたアンチ分析機能(フォレンジックツールのブロック)、洗練されたUI、および拡張された言語サポートによって特徴付けられます。一部のサンプルは、実際の認証情報が入力された場合にのみ情報流出を実行し、サンドボックスでの検出を回避します。
セキュリティ対策
セキュリティチームは、電子メールゲートウェイでHTML添付ファイルをブロックし、Telegram APIへのアクセスを制限し、侵害の兆候がないかユーザーアクティビティを遡って確認することが強く推奨されます。このキャンペーンは、信頼されたブランドのなりすましと新しい技術的制御を組み合わせることで、世界中の組織にとってスケーラブルで継続的な脅威となっています。
組織は、技術的な防御を継続的に更新し、従業員にこれらの進化するフィッシング戦術について教育することで、プロアクティブな姿勢を維持する必要があります。脅威アクターがより洗練された戦略を開発するにつれて、徹底した電子メールの精査、ユーザー教育、および脅威インテリジェンスの統合が、効果的な軽減策の重要な柱となります。