ASEC 分析チームは最近、韓国国内の有名なポータルサービスを騙り、利用者の情報を収集するフィッシングメールを確認した。このフィッシングメールの内容は、メールボックスの容量アップグレードを要求し、リンクのクリックを誘導するものになっている。このリンクをクリックすると、パスワードの入力を誘導するフィッシングサイトにリンクする。
メールの件名および本文は以下の通りであり、接続したリンクからフィッシングサイトに移動する。
本文内に埋め込まれているリンクをクリックして接続すると、以下のような韓国国内の有名ポータルサービスを装ったフィッシングサイトにリンクする。
- フィッシングサイトの URL : hxxp://www.eylulrentacar[.]com/indexh.html
正常なポータルサービスのログイン画面とは異なり、フィッシングサイトはワンタイムパスワード、QR コード、パスワードの確認、ID の確認、会員登録のような機能を提供していないことが確認できる。
その後、フィッシングサイトではログインボタンを通して checkInput 関数が有効化される。checkInput 関数はパスワードが入力されたかどうかを確認したあと、send 関数によって収集した情報を攻撃者のサーバーに転送する。
- C2 サーバー : hxxps://v2.faj[.]ma/wordpress/wp-includes/js/tinymce/plugins/wordpress/plugins.php
また、send 関数はアカウント情報を攻撃者のサーバーに転送するだけでなく、当該プロセスの頻度を count という変数でチェックし、監視を回避するために、すでに転送を試みたフィッシングサイトは正常なポータルサイトのログインページにリダイレクトする動きを見せる。
このようなフィッシングメールによる被害を防止するためには、不明なメール内のリンクに接続時、接続されるリンク先の URL および当該サイトの機能が、正常に動作しているかを確認する等のユーザーの注意が必要である。
現在 AhnLab では、このフィッシングサイトのドメインをブロックしている。
[IOC 情報]
- hxxp://www.eylulrentacar[.]com/indexh.html
- hxxps://v2.faj[.]ma/wordpress/wp-includes/js/tinymce/plugins/wordpress/plugins.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報