AhnLab SEcurity intelligence Center (ASEC)では最近、韓国国内のポータルサイトのログイン画面と同じフィッシングファイルの拡散を確認した。以前から、複数の韓国国内ポータルサイト/運送、物流業ブランド/Web メールログインページに偽装した事例はかなり頻繁に確認されてきた。
* 本文で比較資料として使用した左右の図は、(左)フィッシングページ、(右)正常なページを表す。
上記の[図1]は NAVER ログインページに偽装したフィッシングページと正常なページを、[図2]は「doc003.shtml」のファイル名で配布されたフィッシング HTML ファイルと正常な NateMail ログインページを並べてキャプチャしたものである。
ふと見ただけでは正常/フィッシングを区別できないほど類似しているが、これは攻撃者が正常なサイトのソースコードをそのまま使用して、ユーザーが入力するアカウント情報を窃取するための目的で ID/PW のデータが伝達されるアドレス/方式が変更されたものである。以下の図3、4で確認できるように、フィッシングメールを受信したユーザーの ID が自動入力されているため、気付かずにパスワードを入力してしまう可能性が高い。
また、攻撃者はアカウント情報を流出させるための方式として NoCodeForm を活用した。NoCodeForm は HTML のフォームを通じて送信された結果を、ユーザーの電子メール/Slack により伝達することができる方法を提供する。アカウントを生成すると固有の form-id が作成され、この form-id を活用して外部ユーザーの入力値を受け取ることができる。
攻撃者は、正常なサイトの Web ソースに存在する form タグの onsubmit イベントハンドラを action 属性に改ざんしたあと、流出したアカウント情報を伝達するアドレスに NoCodeForm form-id を活用する。直接テストを行った結果、以下の[図6]のように、ユーザーが入力したアカウント情報を NoCodeForm が提供する基本フォーム、またはユーザーが入力した Email/Slack を通じて受信できることが確認された。
ASEC が 継続的にに公開しているフィッシングの事例を見ると共通して、出どころが不明なメールの添付ファイルを経由したログインを控えることが推奨されている。今回の事例で確認されたように、攻撃者は正常な Web サイトのソースをそのまま使用するため、正常なサイトとの区別が難しい。したがって、正常な Web サイトを通じたログインでなければログインの試み自体を行ってはならず、万が一、ログインを試行してしまった場合は、関連するすべてのパスワードを直ちに変更することを推奨する。
ファイル検知
Phishing/HTML.FakeLogin.SC199025 (2024.04.12.00)
Phishing/HTML.FakeLogin.SC199026 (2024.04.12.00)
IoC
[URL]
hxxps://nocodeform[.]io/f/6612aaccf9a3a01ba8f6d979
hxxps://nocodeform[.]io/f/6605717e7bf0d35064f45348
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報