AhnLab SEcurity intelligence Center(ASEC)は、昨年 Telegram を活用してユーザー情報を流出するフィッシングスクリプトについて紹介した。[1] 最近までも Telegram を利用したフィッシングスクリプトは多数確認されているが、送金、領収書などのキーワードを活用して不特定多数を対象に配布されるという特徴がある。
最近配布されているフィッシングスクリプトは、配布初期とは違って検知を回避するためにコード難読化を使用している。また、従来と同じく保護されたドキュメントを閲覧するようにログインを誘導したり、Microsoft ログインページを装ったりするなど、様々な形態で配布されていることを確認することができた。
難読化が解除されたコードは以下の通りであり、攻撃者は実際に使用されるパスワードを窃取するため、最低5文字以上のパスワードの入力を要求する。
5文字以上のパスワードを入力した場合、Telegram API を通して攻撃者に窃取情報が送信される。送信される情報は、メールアドレス、パスワード、IP アドレスおよび userAgent である。この時、攻撃者にメッセージを送信するため、Token および Chat ID 情報は事前に定義されている。
その後、ユーザーの疑いを避けるために正常な Microsoft ホームページへリダイレクトされる。
前述したフィッシングタイプだけでなく、AgentTesla マルウェアでもユーザー情報の窃取に Telegram を利用しており、Telegram を活用してユーザー情報を窃取する事例が増えている。また、フィッシングサイトがさらに精巧に製作され、配布されているだけに、ユーザーは出どころが不明なファイルの閲覧を控え、疑わしいページではログインをしないように注意する必要がある。
[ファイル検知]
Phishing/HTML.Generic.SC196647 (2024.02.08.00)
Phishing/HTML.Generic.SC196648 (2024.02.08.00)
Phishing/HTML.Generic.SC196649 (2024.02.08.00)
Phishing/HTML.Generic.SC196762 (2024.02.20.00)
[IOC]
52e65857ed34be25c76b54d1c3131abe
6cfff5e65cabf8090ab9aa8b9977f4a8
aae4afd45b38168259268169855562b9
87a0281ced86d15b6a8fc8cf299fd96f
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報