ASEC 分析チームでは、韓国国内の研究機関と企業をターゲットとしてパスワードを窃取するフィッシングメールの拡散を確認した。このフィッシングメールは国際運送業者を詐称しており、通関情報の提出、添付ファイルの閲覧等を要求し、リンクのクリックを誘導する内容で構成されている。メール内に含まれているリンクをクリックすると、パスワードの入力を誘導するフィッシングページにリンクする。同じドメインを使用して、研究機関だけでなく複数の企業をターゲットとして配布された状況も確認されており、注意が必要である。
収集されたサンプルは、以下のように貨物到着(予定)のお知らせに関するメールを装っており、有名な海外の運送会社を詐称している。本文の内容では通関情報を入力するためにリンクをクリックするよう促しており、当該リンクをクリックするとフィッシングページにリンクする。

もう一つのサンプルでは、以下の画像のようにメール本文に添付ファイルが存在するかのように偽装している。添付ファイル情報に見える部分は実際には画像ファイルで、ハイパーリンクが挿入されており、クリックするとフィッシングページにリンクするようになっている。こちらも同じく、有名な運送会社を詐称している。

フィッシングページではセッションの有効期限が切れているというメッセージを表示し、パスワードの入力を誘導する。ユーザーが入力したパスワードは GET 方式によって攻撃者のサーバーに送られる。上記サンプルにおいて使用されたフィッシングページのアドレス形式は以下の通りである。
hxxp://survoltropic[.]pt/consequuntursed/koream/koream.php?main_domain=[リダイレクト URL]&email=[メールアカウント]&subdomain=[URL] |
フィッシングページは Iframe によって[リダイレクト URL]のページをロードして表示したあと、その上にオーバーレイを重ねて無効化にしたように見せかけている。

その後、パスワードの入力フォームが含まれたオブジェクトをロードするが、そのオブジェクトから[リダイレクト URL]の Favicon を出力し、メール受信者のアカウント情報を含ませる。結果的に、実際の Web メールサービスのセッションが期限切れになった事を知らせるアラームに見えるように偽装している。パスワード入力フォームに6文字以上のデータを入力してログインボタンを押すプロセスを2回試みた場合、[リダイレクト URL]に移動する。

以下の例では背景に ASEC ブログが表示されているが、実際のケースでは攻撃対象企業のメールサービス画面が表示される。

同じドメインを使った攻撃で、韓国国内の研究機関および企業だけではなく、韓国国外の地方政府等をターゲットとしたサンプルも発見されており、ユーザーの注意が必要である。不明なメールについては添付ファイルを閲覧しないようにしなければならず、個人情報を絶対に入力してはならない。
一方、AhnLab では当該フィッシングページのドメインを遮断している。
[IOC 情報]
- hxxp://survoltropic[.]pt
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報