最近、ASEC 分析チームは Microsoft のログインページに偽装したフィッシングメールが流入している状況を捕捉した。
収集されたフィッシングメールのサンプルは、以下の図のように Microsoft のボイスメッセージに偽装し、playback ファイルを閲覧するように添付ファイルのクリックを誘導する内容で構成されている。この添付ファイルをクリックすると Microsoft ログインページに偽装したフィッシングページに移動する。
もう一つのサンプルは、スキャナによって転送されたファイルに偽装し、添付ファイルのクリックを誘導する内容で構成されている。この添付ファイルをクリックすると、同様に Microsoft ログインページに偽装したフィッシングページに移動する。
どちらのサンプルも添付ファイルをクリックするとそれぞれ[図3]、[図4]のように Microsoft ログインページに似せて作成された画面に移動する。これらのページは、対象となるメールアドレスがすでに入力された状態でログインプロセスが行われるように構成されている。さらに[図4]のサンプルの場合、オートログインプロセスに偽装した画面が先に表示され、その後オートログイン失敗によってユーザーのアカウント情報を要求するフィッシング画面に移動する過程が追加される。実際の Microsoft 社のログインプロセスと同じように構成されているため、ユーザーがパスワード入力欄にうっかりパスワードを入力してしまう可能性がある。
どちらのサンプルも、フィッシングページは[図5]のようにスクリプト内のパーセントエンコーディング文字列をデコードして DOM に作成する形で構成されており、これと同じデコードプロセスが繰り返し実行される。unescape によってエンコードを解除すると、[図6]のように最終的にレンダリングされる HTML を確認することができる。
このフィッシングサイトにパスワードを入力してログインボタンをクリックすると、以下の図のように Microsoft 社のサービスとは無関係の攻撃者のサーバーへパスワードが送信される。
攻撃者は、窃取したアカウント情報を利用して Microsoft ユーザーのメールアカウントにアクセスが可能となる恐れがあり、これによって企業内の機密情報の窃取が引き起こされる可能性があるため、特に注意が必要である。
ユーザーは、出どころが不明なメールに含まれた添付ファイルを閲覧しないようにしなければならず、不明な Web ページにアカウント情報を入力しないように注意しなければならない。
現在 AhnLab では、このフィッシングページのドメインを遮断している。
[IOC]
– hxxps://highestindroom2021[.]com/x/data.php
– hxxps://ivghsot[.]com/lab.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報