概要
サイバーセキュリティの状況は絶えず進化しており、脅威アクターはセキュリティ制御を回避し、ユーザーの認証情報を窃取するために、ますます巧妙なフィッシング技術を展開しています。Push Securityのセキュリティ研究者は、Phishing-as-a-Service (PhaaS) エコシステムにおける憂慮すべき進展を最近特定しました。Sneaky2FAフィッシングキットが、Browser-in-the-Browser (BitB) 技術を組み込み、かつてないほどステルスにMicrosoftアカウントの認証情報を標的にしているとのことです。
Sneaky2FAの動作メカニズム
Sneaky2FAは、顧客にライセンス供与された難読化されたソースコードを独立して展開できるように提供する、完全に機能するTelegramボットとして動作します。この配布モデルは、識別可能なコードベースの類似性を生み出し、セキュリティチームが脅威を確実に追跡しプロファイリングすることを可能にします。しかし、今回の最新版は、一般的なリバースプロキシ型の中間者攻撃 (AiTM) の実装からの著しい戦術的転換を示しています。
Push Securityの研究者は最近、実際のフィッシングページを含む埋め込みブラウザウィンドウを備えたSneaky2FAサーバーを検出しました。被害者が悪意のあるURLにアクセスすると、まずCloudflare Turnstileのボット保護チェックに遭遇します。この検証を通過すると、ユーザーはサブドメインにリダイレクトされ、Adobe Acrobat Readerに似たドキュメントを表示するために「Microsoftでサインイン」を促されます。ユーザーはフィッシングの誘いの一部として「Microsoftでサインイン」するよう求められます。
ユーザーがサインインボタンをクリックすると、その巧妙さが明らかになります。Microsoftのログインフォームを模倣したリバースプロキシフィッシングページが、ドキュメントライブラリに似たカスタム背景画像とともに、埋め込みブラウザウィンドウ内に読み込まれます。システムは、訪問者のオペレーティングシステムとブラウザに基づいてポップアップウィンドウの外観を動的に調整し、認証情報の窃取とアカウント乗っ取りにつながる説得力のある認証体験を生み出します。
Browser-in-the-Browser (BitB) の重要性
2022年にセキュリティ研究者のMr.d0xによって初めて提唱されたBitBは、主にポップアップログインフォームを介して標準的なブラウザ内認証フローをシミュレートすることで、疑わしいフィッシングURLを隠蔽することを目的としています。この技術は、悪意のあるサーバーを指すiframeを使用してポップアップウィンドウのデザインを再現し、実際のフィッシングサーバーのアドレスを明かす代わりに、偽物でありながらも合法に見えるMicrosoftログインURLを表示します。
BitBが採用する回避技術
このSneaky2FAの実装は、PhaaSキットに一般的に組み込まれている複数の検出回避技術を組み込んでいます。条件付き読み込み技術は、既知のセキュリティベンダーのIPやVPNサービスを含む望ましくない訪問者をブロックし、特定の組織やユーザーを標的にします。不正確なパラメータが検出された場合、システムは疑いを避けるために無害なwikibooksページにリダイレクトされます。CAPTCHAやCloudflare Turnstileのようなボット保護技術は、セキュリティボットがページを分析し、悪意のあるコンテンツを自動的にフラグ付けするのを防ぎます。ユーザーはフィッシングページを読み込むためにボット保護チェックを通過する必要があります。
Sneaky2FAは、静的検出とパターンマッチングを回避するために、高度に難読化されたHTMLとJavaScriptを採用しています。技術には、不可視のタグでUIテキストを分割する、背景要素をエンコードされた画像として埋め込む、悪意のあるコンテンツ分析をブロックするためにブラウザの開発者ツールを無効にするなどが含まれます。このキットはまた、ドメインローテーションとURLマスキング戦略を利用しており、各キャンペーンでは、攻撃の直前まで休止している無害に見えるまたは侵害されたドメイン上で、新鮮でランダムな150文字のURLを使用します。
PhaaSの脅威状況の拡大
Tycoon、NakedPages、Flowerstorm、Salty2FA、EvilginxのバリエーションなどのPhaaSキットは、高度な機能を低い技術障壁で犯罪者に利用可能にすることで、フィッシングエコシステムを支配しています。認証を完了すると、ユーザーのMicrosoft認証情報とアクティブなセッションが攻撃者によって窃取され、アカウント乗っ取りが容易になります。Sneaky2FAのBitBへの移行は、より広範な業界の動きを示す可能性があり、別のPhaaSサービスであるRaccoon0365もサービス強化の一環として「BITBミニパネル」を発表しています。この競争環境は、MFA回避が標準であり、フィッシング耐性のある認証がダウングレード攻撃に直面し、検出回避がメールスキャナー、ウェブクローリングツール、ウェブプロキシを回避するようなイノベーションを促進しています。
IDベースの攻撃が主要な侵害原因として続いているため、BitBのような技術を通じたフィッシングインフラの継続的な洗練は、従来のセキュリティ制御が企業環境を保護する上で継続的な課題に直面することを意味します。