ASEC 週間フィッシングメールの脅威トレンド (20230115 ~ 20230121) Posted By ASEC , 2023年 January 31日 ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年01月15日から01月21日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、最も多いタイプはの偽のページ(FakePage、73%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下の<偽のログインページ C2>を参照 その次に多かったタイプは情報窃取マルウェア(Infostealer、10%)である。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web…
ユーザーのメールアドレスに応じて変更されるフィッシングページ(favicon 利用) Posted By choeyul , 2023年 January 31日 ASEC 分析チームでは継続的にフィッシングメールについてモニタリングしている。多数のフィッシングメールが確認されているが、ユーザーが入力する本人アカウントのメールサービスの種類に応じて、それに該当するアイコンに変更して拡散するといった状況が確認された。2023年1月16日に配布されたメールで、アカウントが無効になると警告し、再度有効にする必要がある場合は「今すぐ再起動してください」のリンクをクリックするようにと誘導する。接続されたフィッシングメールを通してユーザーのメールアカウントおよびパスワードが流出する。 [図1] 拡散しているメール この時に接続されたページ上には従来と異なる点が確認された。従来はユーザーのメールアカウントがすでに入力されており、パスワードのみを入力する形式である。しかし、今回のフィッシングではメールアドレスまで入力するようになっていた。しかし、この時に使用される @ 以降のメールサービスに応じてフィッシングページのアイコンに変更される。Google がサポートしている Favicons 機能を利用したことが確認された。Favicon の Web…
ASEC 週間フィッシングメールの脅威トレンド (20230101 ~ 20230107) Posted By Hansoyoung , 2023年 January 17日 ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年01月01日から01月07日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、最も多いタイプはの偽のページ(FakePage, 58%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下の<偽のログインページ C2>を参照 その次に多かったタイプはワーム(Worm、15%)であった。Worm マルウェアは伝播機能を含むマルウェアの分類で…
国税庁に偽装したメールで確認されたフィッシング Web サーバー Posted By Hansoyoung , 2023年 January 17日 ASEC 分析チームは最近、国税庁を詐称したフィッシングメールが拡散している状況を確認した。このフィッシングメールは、社内メールのパスワードの有効期限満了を強調し、アカウントがロックされる前にパスワードを維持するように推奨する内容で拡散している。 図1) 本文メール 図2) アカウント入力フィッシングサイト 図3) ログインページのソースコード 「同じパスワードを維持」という URL をクリックすると、社内メールのログインページが確認できるが、このログインページの HTML スクリプトコードは上記のようになる。コードから確認できるように、ユーザーがログインすると、ユーザーのアカウント情報が攻撃者のサーバーに流出する形態になっている。…
ASEC 週間フィッシングメールの脅威トレンド (20221225 ~ 20221231) Posted By Hansoyoung , 2023年 January 10日 ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2022年12月25日から12月31日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、最も多いタイプは情報窃取マルウェア(Infostealer、46%)であった。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させる。その次に多かったタイプは偽のページ(FakePage、29%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2…