ASEC 分析チームは最近、非営利政府機関を詐称したフィッシングメールが拡散している状況を確認した。中小ベンチャー企業振興公団(KOSME)のサービスである GobizKOREA のログイン画面に偽装した Web ページを使用してユーザーのログインを誘導するため、貿易分野に携わるユーザーは特に注意が必要である。
フィッシングメールの件名および本文は以下の通りである。
メール本文にはバイヤーから新たな問い合わせが登録されたといった内容が含まれており、本文に含まれた5つのハイパーリンクは GobizKOREA のログインページに偽装したリンクに接続され、どのハイパーリンクをクリックしても攻撃者の意図したページにアクセスされるようになっている。
図1) 準政府機関を詐称したフィッシングメールの本文
図2) メール本文に挿入されているハイパーリンク
本文のハイパーリンクを通して Web ページにアクセスすると、以下のようなログインページを確認できる。
text フィールドを使用する input type の style タグが readonly に設定されているため、メールアドレスは入力/修正が制限された状態で表示される。
図3) ログインを誘導するフィッシングメールの HTML
図4) 一般的なフィッシング HTML と同一タイプのスクリプトコード
この HTML ファイルのスクリプトコードを見ると、一般的なフィッシングファイルとは大きく異なる点はない。
ユーザーがパスポートを入力してログインボタンをクリックすると、 POST メソッドを使用して攻撃者のサーバーにユーザーの個人情報を流出させるタイプであることがわかる。
このようにして獲得したユーザーの個人情報は、アビューズ行為に利用されたり、販売されたりする。
一般的にユーザーが大半の Web サイトで同様の、もしくは類似したパスワードを使用している点を悪用しているため、ユーザーの注意がさらに要求されている。
図5) GobizKOREA 公式 Web ページ(https://kr.gobizkorea.com/)のスパムメールの注意通知
一方、GobizKOREA 公式 Web サイトでは、上記のようなフィッシングメールについて2019年から何度もお知らせを通して注意を呼び掛けている。
この機関は費用の支払いに関連したメールは絶対に送信しないことと、ユーザーはこれらにログインしないようにしなければならないようにといった内容が含まれている。
継続的に確認されているフィッシングメールの共通点を確認すると、巧妙さについての差はあるものの、一般的にはメール内の添付ファイルやリンクを通してアクセスできるページで、ユーザーのアカウントを追加で要求することが分かる。
したがって、Web ページに直接接続するのではなく、個人情報を追加で入力しなければならないページでのユーザー情報入力は控えなければならない。
現在 AhnLab ではこのフィッシングサイトの関連ドメインを遮断している。
[ファイル検知]
- Phishing/HTML.Generic (2022.12.05.03)
[IOC 情報]
- hxxps://akaefe.duckdns[.]org
- hxxps://ghomud.duckdns[.]org
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報