短縮 URL を悪用した特定機関を騙るフィッシングメールに注意!

ASEC 分析チームでは、フィッシングメールに関連する内容をブログで継続的に紹介し、ユーザーへの注意を呼びかけている。最近添付されたファイルからは、同類と判断できるフィッシングメールが大量に配布されている状況が捕捉された。

この種類のフィッシングメールの特徴は、最終的に接続されるフィッシングサイトの HTML ファイルの構造こそ異なるが、メールに添付されたリダイレクト機能の HTML ファイルの構造が同じであり、特定の短縮ドメイン(chilp.it)を使用してフィッシングページの URL を隠匿するという点である。別個の二つのフィッシングメールを通して、同類であると判断できる構造的な特徴を説明する。

[図1] フィッシングメールの画面 1
[図2] フィッシングメールの画面 2

以下の[図3]、[図4]は、上記[図1]、[図2]のフィッシングメールに添付された HTML ファイルであり、これらのファイルはどちらも実行すると3秒後にフィッシングページに接続(リダイレクト)する機能を実行し、文法も同じ構造を持っている。目につく特徴としては、特定の短縮 URL (chilp.it)を活用してリダイレクト先の URL をスクリプト内に隠していることである。

[図3] フィッシングメール1 に添付された HTML スクリプト(フィッシングページにリダイレクト)
[図4] フィッシングメール2 に添付された HTML スクリプト(フィッシングページにリダイレクト)

[図5]、[図6]は上記二つの事例で接続(リダイレクト)された、アカウントのログインフィッシング HTML ファイルである。どちらのスクリプトも ID 入力欄には受信者の Email アドレスが入力されているため、普段使用しているパスワードをうっかり入力してしまう可能性がある。

[図5] フィッシングメール1 で接続されたフィッシングページ
[図6] フィッシングメール2 で接続されたフィッシングページ

[図7]は最初のフィッシングサイトのログイン情報流出 HTML ファイルであり、不正な URL およびキーワードを晒さないために、部分的に難読化が施されている。[図8]は難読化が解除された状態であり、赤枠内に追加の Javascript URL(app.js)の存在を確認できる。[図9]は追加の Javascript(app.js)の内容であり、ログイン情報を C2 に送信する機能が存在する。

[図7] フィッシングメール1 で接続されたフィッシングページのアカウント流出 HTML ファイル(難読化)
[図8] フィッシングメール1 で接続されたフィッシングページのアカウント流出 HTML ファイル(難読化解除)
[図9] app.js (ログイン情報送信機能)

[図10]は2つ目のフィッシングサイトのログイン情報流出 HTML ファイルであり、こちらの場合は難読化を行わず C2 アドレスがスクリプト内に直接晒されているという特徴がある。

[図10] フィッシングメール2 で接続されたフィッシングページのアカウント流出 HTML ファイル

2つの電子メールの事例を見たとき、メール送信者が同じであり、添付された HTML ファイルにおいて特定の短縮 URL を使用している特徴が確認できた。しかし、動作方式においてはそれぞれ違いがあり、最終的に接続されるフィッシングページは様々な形が存在することがわかる。

ユーザーは、出どころが不明なメールは閲覧しないようにする注意が必要であり、使用しているアンチウイルス製品を常に最新バージョンにアップデートして運用する努力が必要である。また、アカウントを流出させようとするフィッシングページの動作方式は ASEC ブログで継続的に紹介しているものと大きく変わらないため、添付ファイルを通じて移動した Web ページにアカウント情報を入力するような行動はしない警戒心が必要である。

現在 V3 Lite では、以下のように URL 遮断によって対応している。

[関連 IOC 情報]
– hxxps://blubbery-stake.000webhostapp.com/3/aspx.php
– hxxps://flamboyant-borg.95-216-216-13.plesk.page/froum_do/wp-content/uploads/2021/09/gate.php

5 2 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments