ASEC 分析チームは、2022年7月21日に韓国国内のポータルサイトである Daum を装ったフィッシングメールが拡散している状況を捕捉した。このフィッシングメールの件名は RFQ を含んでおり、見積依頼書を偽装し、添付ファイルを利用してフィッシングページに誘導するように作られている。

添付ファイルは HTML ファイルになっており、添付ファイルを実行すると自動で、以下のアドレスにリダイレクションされる。
- hxxps://euoi8708twufevry4yuwfywe8y487r.herokuapp[.]com/sreverse.php

リダイレクションされた後、以下のような Daum に偽装したフィッシングページ [図3の左]が表示され、実際のログインページ [図3の右]と比較すると、ほぼ類似して作られていることが分かる。フィッシングページは実際のログインページとは異なり、ログインボタン以外の他のボタンが正常に動作しない。

アカウント情報入力後にログインすると、[図4]のように以下の URL に入力したアカウント情報を伝達し、その後ログインページに再度移動し、パスワードが正しくないというメッセージを表示して、ユーザーに再度アカウント情報を入力させている。
- hxxps://kikicard[.]shop/0ragnar2/out.php

ログインボタンをクリックして、もう一度アカウント情報を伝達すると、アカウント ID のドメインアドレスにリダイレクトされる。
このように、フィッシングメールは様々なパターンが存在するため、ユーザーは注意する必要がある。心当たりのないメールについては添付ファイルを開かないようにしなければならず、特にログインウィンドウが表示された時は必ずアドレスを確認し、自分がログインしようとしているサイトかどうかを確認しなければならない。
現在 AhnLab V3 製品は、当該ファイルに対して以下の通り検知している。
[ファイル検知]
Phishing/HTML.Generic
[IOC 情報]
b24b1202ed74b3d10c9e0be0945cff37
hxxps://kikicard[.]shop/0ragnar2/out.php
hxxps://euoi8708twufevry4yuwfywe8y487r.herokuapp[.]com/sreverse.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報