フィッシングキット「CryptoChameleon」に注意、有名サイト偽り情報窃取
マイナビニュース2024年3月5日(火)10時58分
Lookoutはこのほど、「CryptoChameleon: New Phishing Tactics Exhibited in FCC-Targeted Attack|Lookout Threat Intelligence」において、暗号資産プラットフォームおよび米連邦通信委員会(FCC: Federal Communications Commission)を標的にする新しい高度なフィッシングキット「CryptoChameleon」を発見したと報じた。
このキットを用いることで、シングルサインオン(SSO: Single Sign On)ページのコピーの作成および、電子メール、ショートメッセージサービス(SMS: Short Message Service)、音声フィッシングを組み合わせた攻撃が可能になり、標的の認証情報を窃取できるという。
○フィッシングキット「CryptoChameleon」の概要
Lookoutはこのフィッシングキットを発見したきっかけは、脅威グループ「Scattered Spider」が使用する戦術によく似た不審なドメインの登録だったという。発見されたドメインは「fcc-okta[.]com」で、これは正規のFCC Oktaシングルサインオンページと1文字だけ異なっているとのこと。
このフィッシングキットを使用して作成されたフィッシングサイトにアクセスすると、はじめにhCaptchaによる人間確認を求められる。これはセキュリティ企業による自動巡回型のフィッシングサイト検出を回避するためとされる。あわせて、被害者に「正規サイト」であるかのような錯覚を覚えさせる効果も期待されているとみられる。
hCaptchaによる人間確認をパスすると、次に標的のログインページのコピーが表示される。ログインのために認証情報を入力すると、待機画面や多要素認証(MFA: Multi-Factor Authentication)トークンの入力画面などが表示される。表示されるページは攻撃者により制御可能とされ、標的のシステムに合わせた説得力のある画面遷移を実行できるという。
攻撃者は管理コンソールからリアルタイムで状況を把握しており、標的の入力した情報を使って裏で正規サイトへのログインを試みているとみられている。
○「CryptoChameleon」の影響と対策
このフィッシングキットを使用したキャンペーンでは、米連邦通信委員会(FCC)以外にも次のWebサイトを標的にしていることが確認されている。
Binance
Coinbase
Gemini
Kraken
ShakePay
Caleb & Brown
Trezor
AOL
Gmail
iCloud
Okta
Outlook
Twitter
Yahoo
Lookoutは調査の過程で攻撃者のバックエンドログへの一時的なアクセスに成功し、窃取された情報を確認している。Lookoutによると窃取された情報にはメールアドレス、パスワード、ワンタイムパスワード(OTP: One Time Password)トークン、パスワードリセットURL、運転免許証の写真などが含まれるという。また、バックエンドログから100人以上の被害者が確認されている。
フィッシングサイトへの誘導方法は、電話とテキストメッセージを組み合わせた手法を使うとみられている。ある事案において、攻撃者はサポートチームになりすまして被害者に電話し、「あなたのアカウントがハッキングされた。回復の手助けをする」と伝え、テキストメッセージからフィッシングサイトへ誘導したという。
この攻撃はScattered Spiderの戦術によく似ているとされるが、フィッシングキット内の機能と使用しているコマンド&コントロール(C2: Command and Control)インフラストラクチャが大きく異なるという。そのため、このフィッシングキットにScattered Spiderが関わっているのか、脅威グループ間で共有されているのかはわかっていない。
この攻撃では、フィッシングサイトに誘導するためにソーシャルエンジニアリング攻撃を使用する。その際に送られてくるURLは正規のものに似ているが異なっているため、冷静に確認することで攻撃を回避できる。攻撃者は常に緊迫感を作り出して被害者を焦らせようとしてくるが、メッセージのリンクにアクセスするときは必ずURLを確認することが推奨されている。
このキットを用いることで、シングルサインオン(SSO: Single Sign On)ページのコピーの作成および、電子メール、ショートメッセージサービス(SMS: Short Message Service)、音声フィッシングを組み合わせた攻撃が可能になり、標的の認証情報を窃取できるという。
○フィッシングキット「CryptoChameleon」の概要
Lookoutはこのフィッシングキットを発見したきっかけは、脅威グループ「Scattered Spider」が使用する戦術によく似た不審なドメインの登録だったという。発見されたドメインは「fcc-okta[.]com」で、これは正規のFCC Oktaシングルサインオンページと1文字だけ異なっているとのこと。
このフィッシングキットを使用して作成されたフィッシングサイトにアクセスすると、はじめにhCaptchaによる人間確認を求められる。これはセキュリティ企業による自動巡回型のフィッシングサイト検出を回避するためとされる。あわせて、被害者に「正規サイト」であるかのような錯覚を覚えさせる効果も期待されているとみられる。
hCaptchaによる人間確認をパスすると、次に標的のログインページのコピーが表示される。ログインのために認証情報を入力すると、待機画面や多要素認証(MFA: Multi-Factor Authentication)トークンの入力画面などが表示される。表示されるページは攻撃者により制御可能とされ、標的のシステムに合わせた説得力のある画面遷移を実行できるという。
攻撃者は管理コンソールからリアルタイムで状況を把握しており、標的の入力した情報を使って裏で正規サイトへのログインを試みているとみられている。
○「CryptoChameleon」の影響と対策
このフィッシングキットを使用したキャンペーンでは、米連邦通信委員会(FCC)以外にも次のWebサイトを標的にしていることが確認されている。
Binance
Coinbase
Gemini
Kraken
ShakePay
Caleb & Brown
Trezor
AOL
Gmail
iCloud
Okta
Outlook
Yahoo
Lookoutは調査の過程で攻撃者のバックエンドログへの一時的なアクセスに成功し、窃取された情報を確認している。Lookoutによると窃取された情報にはメールアドレス、パスワード、ワンタイムパスワード(OTP: One Time Password)トークン、パスワードリセットURL、運転免許証の写真などが含まれるという。また、バックエンドログから100人以上の被害者が確認されている。
フィッシングサイトへの誘導方法は、電話とテキストメッセージを組み合わせた手法を使うとみられている。ある事案において、攻撃者はサポートチームになりすまして被害者に電話し、「あなたのアカウントがハッキングされた。回復の手助けをする」と伝え、テキストメッセージからフィッシングサイトへ誘導したという。
この攻撃はScattered Spiderの戦術によく似ているとされるが、フィッシングキット内の機能と使用しているコマンド&コントロール(C2: Command and Control)インフラストラクチャが大きく異なるという。そのため、このフィッシングキットにScattered Spiderが関わっているのか、脅威グループ間で共有されているのかはわかっていない。
この攻撃では、フィッシングサイトに誘導するためにソーシャルエンジニアリング攻撃を使用する。その際に送られてくるURLは正規のものに似ているが異なっているため、冷静に確認することで攻撃を回避できる。攻撃者は常に緊迫感を作り出して被害者を焦らせようとしてくるが、メッセージのリンクにアクセスするときは必ずURLを確認することが推奨されている。
「フィッシング」をもっと詳しく
「フィッシング」のニュース
-
『THEフィッシング』狙うは高級魚ベニアコウ 水深1000メートル深海に潜む“幻の魚”5月8日13時36分
-
Docker Hubのリポジトリ280万件以上がフィッシング攻撃に悪用、注意を5月3日15時23分
-
「水辺へ誘う、冒険心溢れるウエアリングを提案」HELLY HANSEN “Paddle Out To the Water”- 5月上旬ローンチ -5月2日15時16分
-
中国フィッシング組織暗躍 統制強化で海外に拠点か5月2日3時41分
-
【THEフィッシング】手軽で簡単!!東京湾バチコンアジング5月1日14時46分
-
Microsoftアカウントの窃取に気付かない、巧妙なフィッシング詐欺に注意4月29日9時5分
-
釣りあげた魚のカウンターアタック! 平和なフィッシングで発生した思わぬ珍事件に「魚さん、グッジョブ!」【米】4月26日15時5分
-
新生活シーズン、個人情報を狙う「フィッシング詐欺」に注意4月25日19時46分
-
「支払い方法に問題があります」Mastercardかたったメール フィッシング対策協議会が注意喚起4月25日18時22分
-
Mastercardを偽るフィッシング確認、注意を4月25日9時32分