ASEC 分析チームは、ビットコイン奪取を目的とする不正なメールが韓国国内で拡散していることを確認した。メール本文にはビットコインの入金に関する情報が記載されており、内部に含まれている不正な URL をクリックすると詐欺サイトに飛ばされることが特徴である。
詐欺メールは以下のように Admin 管理者に偽装して Bitcoin Payment という件名で出回っており、メール本文では「お客様のご要望により、ビットコインポートフォリオ管理サイト(www.fortcoin[.]net/signin)に 25BTC($1,184,081.00 USD)を入金しました」という内容と共に、登録している顧客 ID とパスワードを案内している。
この詐欺サイト(www.fortcoin[.]net)はビットコインのポートフォリオ管理サイトに偽装しており、ポートフォリオ毎にウォレット管理、入金/出金、利息支給サービスを提供しているという名目のもとで運用されている。
メール本文で案内されているサイトのアドレス(www.fortcoin[.]net/signin)にアクセスすると、以下のようなログインページを確認できる。
添付された顧客 ID とパスワードを入力してログインすると、セキュリティのためにパスワードの変更と OTP を発行して使用する必要があるというメッセージが表示される。
続いてパスワードの変更を行うと、認証サーバーから専用アカウントを付与されたかのように、以後再度ログインする時は同じ顧客 ID と変更したパスワードで、従来活動していたセッションをそのまま続けて使用することができる。このような認証システムを使用する理由は、同じ顧客 ID を利用する特定のグループをより簡単に識別、管理するためのものと推定される。(*顧客 ID ごとにポートフォリオに入金されているビットコイン数量が異なる)
この後、OTP を発行するための携帯電話番号を要求し、SMS 方式を利用する場合は以下のような認証コードがテキストメッセージで送られてくる。
一度でも認証に使用したことのある番号の場合は、「この番号とは通信できない」というメッセージが表示される。これは、攻撃者が SMS テキストメッセージ認証方式を通じてユーザーを識別しているものと判断できる。
続いて、携帯電話に送信された OTP を入力すると、「このアカウントは完全に保護されており、今後メッセージボックスを利用してコミュニケーションを行う」というメッセージが表示される。
1.一つ目のホール – ポートフォリオ生成ページ
攻撃者が作成した一つ目のホールは、ポートフォリオ生成ページである。3、6、12か月ごとにビットコインを好きな数量だけ預けることができ、その期間に応じた割合分の利息を支給するという名目で専用口座を生成し、ユーザーからビットコインの入金を誘導している。
* savePro 機能は当該ポートフォリオの最小出金限度を制限するポリシーである。
– 3か月預け入れ時の利息率 3%
– 6か月預け入れ時の利息率 10%
– 12か月預け入れ時の利息率 25%
入金専用ページでの最小入金限度は0.0005 BTC に制限している。生成されたポートフォリオを選択し、0.0005個以上の BTC 数量分を入力した後 Deposit Now ボタンをクリックすると、以下のように毎回新しいビットコインウォレットのアドレスが生成される。
これは、実際のビットコインのブロックエクスプローラー上でも確認できる。ここで生成されたウォレットの秘密鍵は攻撃者が持っているものと判断され、これは入金されたビットコインを奪取するための手段として使用されるものと思われる。
2.二つ目のホール – すでに生成されている偽のポートフォリオ
ログイン時に使用された顧客 ID のような場合、基本的に25ビットコインを12か月預けたポートフォリオ2が生成されて進行中の状態になっており、サイト内のトランザクションページでは人為的に管理されているポートフォリオの履歴を確認できる。
攻撃者が作成した二つ目のホールは、すでに生成されている偽のポートフォリオ2である。預けられている25個のビットコインを出金しようとすると、初回出金制限により0.0001ビットを先に出金してから、残りの資金を回収することができるというメッセージを表示する。
実際に入金されるビットコインの個人ウォレットのアドレスを入力し、0.0001ビットに対する出金を行った場合、攻撃者と推定されるウォレット(bc1qt80xra3r2df8gvzr0pu 8vce98ltk6zxlr3fx9z)から、通常1日以内に0.0001ビットが入金されることが確認できる。
(*ただし、一度使用したことのある携帯電話番号では、それ以上の重複出金は不可能)
この後、追加で残りの24.9999ビットコインを出金しようとすると、savePro が有効になることで最小25.006 BTC から出金が可能と表示され、そのポートフォリオのウォレットアドレスに0.0061 BTC に該当する差額を追加入金するように誘導してくる。これは、攻撃者が前払いした費用(0.0001ビット)の60倍に相当する金額である。
*25.006 BTC 未満の出金制限
*0.0061 BTC の入金要求
攻撃者は、このような詐欺を働くために、ユーザーに対して最小限のコストで自分の資金を差し出しておき、より大きな金額を返してもらうという意図の巧妙な詐欺手法を用いている。ユーザーは、出どころの不明なメールを閲覧する時は添付ファイルやメールに含まれた URL をクリックしないように注意しなければならない。
現在 V3 Lite では、URL 遮断を通して対応している。
[関連 IOC 情報]
– hxxps://fortcoin[.]net/signin
– bc1qt80xra3r2df8gvzr0pu8vce98ltk6zxlr3fx9z
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報