韓国国内の研究機関および企業をターゲットとするフィッシングメールの拡散 Posted on 2021年 December 6日 ASEC 分析チームでは、韓国国内の研究機関と企業をターゲットとしてパスワードを窃取するフィッシングメールの拡散を確認した。このフィッシングメールは国際運送業者を詐称しており、通関情報の提出、添付ファイルの閲覧等を要求し、リンクのクリックを誘導する内容で構成されている。メール内に含まれているリンクをクリックすると、パスワードの入力を誘導するフィッシングページにリンクする。同じドメインを使用して、研究機関だけでなく複数の企業をターゲットとして配布された状況も確認されており、注意が必要である。 収集されたサンプルは、以下のように貨物到着(予定)のお知らせに関するメールを装っており、有名な海外の運送会社を詐称している。本文の内容では通関情報を入力するためにリンクをクリックするよう促しており、当該リンクをクリックするとフィッシングページにリンクする。 もう一つのサンプルでは、以下の画像のようにメール本文に添付ファイルが存在するかのように偽装している。添付ファイル情報に見える部分は実際には画像ファイルで、ハイパーリンクが挿入されており、クリックするとフィッシングページにリンクするようになっている。こちらも同じく、有名な運送会社を詐称している。 フィッシングページではセッションの有効期限が切れているというメッセージを表示し、パスワードの入力を誘導する。ユーザーが入力したパスワードは GET 方式によって攻撃者のサーバーに送られる。上記サンプルにおいて使用されたフィッシングページのアドレス形式は以下の通りである。 hxxp://survoltropic[.]pt/consequuntursed/koream/koream.php?main_domain=[リダイレクト URL]&email=[メールアカウント]&subdomain=[URL] フィッシングページは Iframe によって[リダイレクト…
海外サイト直接購入最盛期に合わせ「Emirates Post」を騙るメールが拡散中 Posted on 2021年 November 23日 ASEC 分析チームは、様々な企業を騙るフィッシングサイトを紹介してきた。最近では海外サイトからの直接購入が最盛期を迎え、運送会社である Emirates Post を騙る不正なメールが出回っていることを確認した。 出回っている不正なメールは以下の通りであり、メール本文には配送先住所に問題があるため、購入者に確認および返品を要請するという内容を使用している。当該メール内の「Tracking Number」と「Click Here」に不正なリンクが添付されており、そのリンクはフィッシングサイトに接続される。また、当該リンクは24時間以内に期限が満了するというメッセージを利用し、ユーザーがリンクをクリックするように誘導している。 メール内に添付されているリンクのアドレスは、以下の通りである。不正なサイトのアドレスは正常な Emirates Post の…
CAPTCHA 画面があるフィッシング PDF ファイルが大量に拡散中 Posted on 2021年 November 3日 今年に入り、CAPTCHA 画面があるフィッシング PDF ファイルが急激に大量拡散している。PDF ファイルを開くと CAPTCHA 画面が表示されているが、これは実際に有効な CAPTCHA ではない。単純な画像に、不正なアドレスへリダイレクトするリンクが埋め込まれているのである。AhnLab ASD インフラに収集された関連するタイプは今年7月~現在だけでも約150万個である。ほとんどが韓国国外への拡散を中心としていると見られ、これによる韓国国内での被害件数は高くないものと見られる。これまでに確認されたフィッシング PDF…
企業ユーザーをターゲットとする Microsoft に偽装したフィッシング攻撃 Posted on 2021年 November 1日 ASEC 分析チームでは最近、企業ユーザーをターゲットに Microsoft に偽装してフィッシング攻撃が行われている状況を捕捉した。 フィッシングメールは以下の画像のように Microsoft から送信されたものであるかのように偽装し、「アカウントパスワード期限切れのお知らせ」という意味のタイトルで出回っており、メール内容には「当該アカウントのパスワードが本日期限切れとなり、当該時間以降はアクセスできなくなるため現在使用しているパスワードを入力して Office365 アカウントにアクセスできるようにすること」というメッセージが書かれている。 「KEEP YOUR PASSWORD」のメッセージをクリックすると、以下の…
「発注書」メールによって配布されるダウム(Daum)偽装フィッシング Posted on 2021年 October 19日 最近、マルウェア配布に多く利用されている方法のうち、かなりの割合を占めるものがフィッシングメールである。ASEC 分析チームでは、過去にも複数のブログを通じて特定のフィッシング攻撃だけでなく、フィッシングメールのタイプについても整理してきた履歴がある。 https://asec.ahnlab.com/jp/27135/ 今回もそれらと同様、ユーザーのダウム(Daum)アカウント情報の流出を目的とするフィッシングメールが確認された。このメールは、以下の[図1]のように特定の大学を受信者、または送信者に設定して配布していることから、特定ターゲットのアカウント情報を収集する目的で作成されたものと推定される。 発注書に関する内容確認メールに偽装し、添付された HTML を実行してユーザーがダウム(Daum)アカウントの情報を入力するように誘導する。以下の左側画面が添付された HTML スクリプトを実行すると確認できるページである。右側の正常なログイン画面と比較すると明らかな違いがあるが、何の疑いもなくスクリプトを実行してしまうと、正常なページと勘違いしやすい。 ユーザー ID とパスワードを入力してログインボタンをクリックすると、ユーザー情報は特定のアドレスに流出され、流出した…
