今まで、本ブログを通して様々なフィッシングメールを ASEC 分析チームが共有してきた。今回も、以前共有した韓国国内のメールサービスのユーザーをターゲットとして拡散するフィッシングサイトのタイプにおける新たなサイトがを発見したため、これについて公開する。
最近確認されたフィッシングサイトは、NAVER メール(mail.naver)、Daum メール(mail2.daum)、Hiworks のユーザーを対象に ID とパスワード(Password)、ユーザー IP 等を収集し、攻撃者のメールに転送する。
最上位のドメイン hxxp://za***if***i**pl*ce[.]com/ は、過去のブログで紹介したフィッシングサイトと同様に open directory 形式であり、同じテンプレート beautysalon を使用している。
また、サブディレクトリ構造が同じであり、フィッシング情報を発信するメールアドレスとディレクトリ名の一部ストリングが含まれている。
スクリプトコード上は従来から大きな変化はなく、以下のようにユーザーの情報を特定のメールに送信することがわかる。
このブログ記事で説明した上記サイト以外にも、このような構造で管理されている他のドメインのサイトが存在する。このように、様々なフィッシングスクリプトを含めて特定ドメインでサイトを構成し、攻撃に使用するものと思われる。
各メールサービスは様々な企業で使用している場合も多く、特別に注意が必要であり、フィッシングスクリプトはメールを通して配布されるため、ユーザーは疑わしいメールを受信した場合、添付ファイルを開かないようにしなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
[ファイル検知]
- Phishing/PHP.Generic
[IOC]
- メール発信アドレス
larrykolman123@gmail[.]com
kesslerbrian80@gmail[.]com
jasonbiden7@gmail[.]com
jacksonwill4500@gmail[.]com
alfredrichy85@gmail[.]com
aalexdylaan@gmail[.]com
ahmedwaris101@gmail[.]com
- ファイル MD5
de9030f4f1e0796e5005546ffc70ebda
3ffc647553d2b619edbc4f8d91e07760
919f244f15bcbf7a78720780ad2c5a41
028cd20833cfee20bc1dc4059c44aafe
4c60f22dff46a25a235698a28bbac19b
c7cc37fcd43fd06bd3766f254d7c11cf
2d437adbb81d6824ac735cc63d36c228
980e3483f9072a756a6beb80c21fac95
32bded85b6cd7da62fc0bbe25c2e6f63
1256fd91aa3dc53ba1e9c85e0825a6f2
6364c2d3ec1e745c9ad3aa71ccac3c13
Categories: マルウェアの情報