ASEC 分析チームでは継続的にフィッシングメールについてモニタリングしている。多数のフィッシングメールが確認されているが、ユーザーが入力する本人アカウントのメールサービスの種類に応じて、それに該当するアイコンに変更して拡散するといった状況が確認された。2023年1月16日に配布されたメールで、アカウントが無効になると警告し、再度有効にする必要がある場合は「今すぐ再起動してください」のリンクをクリックするようにと誘導する。接続されたフィッシングメールを通してユーザーのメールアカウントおよびパスワードが流出する。
[図1] 拡散しているメール
この時に接続されたページ上には従来と異なる点が確認された。従来はユーザーのメールアカウントがすでに入力されており、パスワードのみを入力する形式である。しかし、今回のフィッシングではメールアドレスまで入力するようになっていた。しかし、この時に使用される @ 以降のメールサービスに応じてフィッシングページのアイコンに変更される。Google がサポートしている Favicons 機能を利用したことが確認された。Favicon の Web サイトや Web ページを代表とするアイコンであり、以下の URL の下位で要求する「サイトアドレス」を入力すると、Google でサポートするページの Favicon を得ることができる。
- 接続フィッシングページの短縮 URL : shorturl.at/DGNU2#******.lee@***.com
- 実際のフィッシングページの URL : hxxps://ipfs[.]io/ipfs/QmRgn9xHYkCoGyj39wQBwfYo7MZ2dtJEh1h9RQ5hcyBqGa?filename=logsinfo.html
- Google Favicon : hxxps://www.google[.]com/s2/favicons?domain=「サイトアドレス」
[図2] 従来の拡散メールとフィッシングページ
[図3] NAVER Favicon
[図4] DAUM Favicon
[図5] google Favicon
ページ上で入力されたアカウント情報は、特定の C2 に情報が送信されるが、この時に送信されるアドレスが1/17にアップロードされたフィッシング Web サーバー関連ブログのドメインと同じである。同じ製作者が様々な形態で製作し、フィッシング攻撃を行っているものと推定される。様々な形態のフィッシング攻撃が実行されるため、ユーザーのメール閲覧時には格別な注意が必要であると見られる。
- C2 : hxxps://jy****ud[.]com/service2/online/dollar/sure/logs/gen.php
[IOC 情報]
- hxxps://ipfs[.]io/ipfs/QmRgn9xHYkCoGyj39wQBwfYo7MZ2dtJEh1h9RQ5hcyBqGa?filename=logsinfo.html
- hxxps://jy****ud[.]com/service2/online/dollar/sure/logs/gen.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報