ASEC 分析チームでは最近、企業ユーザーをターゲットに Microsoft に偽装してフィッシング攻撃が行われている状況を捕捉した。
フィッシングメールは以下の画像のように Microsoft から送信されたものであるかのように偽装し、「アカウントパスワード期限切れのお知らせ」という意味のタイトルで出回っており、メール内容には「当該アカウントのパスワードが本日期限切れとなり、当該時間以降はアクセスできなくなるため現在使用しているパスワードを入力して Office365 アカウントにアクセスできるようにすること」というメッセージが書かれている。
「KEEP YOUR PASSWORD」のメッセージをクリックすると、以下の [図2] のように Microsoft ログイン画面と同じ画面が表示される。実際の Microsoft ログインプロセスと同じようにメールアドレスはすでに入力された状態になっているため、ユーザーがパスワード入力欄にうっかりパスワードを入力してしまう可能性がある。
パスワードを入力してログインボタンをクリックすると、以下のように Microsoft とはまったく無関係の攻撃者のサーバーにパスワードが送られ、ログインウィンドウには「ログイン試行タイムアウト、パスワード再確認」というメッセージが表示され、ユーザーにパスワードを再度入力するように誘導する。
攻撃者は取得したアカウント情報を通じてユーザーのメールアカウントにアクセスできるようになり、とりわけ企業ユーザーをターゲットにした今回の攻撃の場合、企業のアカウント情報を窃取すると企業内の機密情報すらも窃取が可能となるため、特別な注意が必要である。
ユーザーは、出どころの不明なメールを閲覧する時は添付ファイルやメールに含まれた URL をクリックしないように注意しなければならない。
[IOC]
– hxxps://www.secretemailsystem[.]com/ROO/
– hxxps://umu.ac[.]ug/ROO/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報