AhnLab SEcurity intelligence Center(ASEC)は、最近中華人民共和国の財政部を装ったキューシングメールが配布されていることを確認した。キューシング(Qshing)とは、QR コードとフィッシング(Phishing)の合成語で、QR コードをスキャンすると、不正なアプリまたはフィッシングサイトに接続される。
配布されているメールは[図1]のようなもので、2024年第1四半期の賃金受領通知書に偽装している。本文には、賃金補助金を受領するため、携帯を利用して QR コードをスキャンするように誘導するメッセージが含まれている。
また、攻撃者は送信者のメールアドレスを「ahnlab.com」に偽装しているが、メールヘッダーから実際の送信者のメールアドレスを確認することができる。一般的にユーザーはメールヘッダーを確認しないため、送信者のメールアドレスが偽造されているという事実を認知し難い。
ユーザーがメールの本文に存在する QR コードをスキャンすると、下記のリンクに接続され、最終的にフィッシングサイトへリダイレクトされる構造である。
- QR コード接続 URL:2024127[.]ltd
- リダイレクト URL:hxxps://km.pvncs157[.]sbs/、hxxp://dfxa.hwkltou.yoanka1r[.]sbs/
リダイレクトされたページでは、ブラウザの横幅を確認し、996pxより大きい場合は PC 環境と判断してモバイルで接続するように誘導する。
ブラウザの横幅の条件を満たす場合、モバイルで接続していると判断し、フィッシングサイトへ接続される。このサイトでは、[図5]のように補助金受領に関するメッセージが含まれた通知ウィンドウが生成される。
通知ウィンドウのボタンをクリックすると、個人情報の入力を誘導するページに接続される。このページは、支援金を申し込むため、ユーザー名、ID 番号を入力するように誘導している。実際、ユーザーの個人情報を入力すると、後はカードおよび携帯番号、パスワードなどの追加情報を入力させ、入力されたユーザー情報は下記のアドレスに送信される。
- hxxp://dfxa.hwkltou.yoanka1r[.]sbs/home/index/xyk.html
上記の内容から確認できるように、攻撃者はキューシング、送信者偽造など、様々な手法を使用して攻撃を試みている。そして、流出した情報が利用されると金銭的な被害に続き、2次被害に繋がる可能性があるため、ユーザーはメールの閲覧に特に注意を払う必要がある。
[IOC 情報]
2024127[.]ltd
hxxps://km.pvncs157[.]sbs/
hxxp://dfxa.hwkltou.yoanka1r[.]sbs/
hxxp://dfxa.hwkltou.yoanka1r[.]sbs/home/index/xyk.html
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報