Phishing campaign uses UPS.com XSS vuln to distribute malware
221/08/23 BleepingComputer — UPS の名を語る狡猾なフィッシング・キャンペーンは、UPS.com の XSS 脆弱性を利用して、悪質なフェイク請求書を Word 文書でプッシュするというものだ。このフィッシング詐欺は、セキュリティ研究者 Daniel Gallagher が最初に発見したもので、UPS からの電子メールを装い、荷物に例外歴な状況が発生したため、顧客に引き取ってもらう必要があると伝えるものだ。
特徴としては、UPS.com の XSS 脆弱性を利用して、サイトの通常ページを正規のダウンロードページのよう変更したことがある。この脆弱性により、脅威アクターは、リモートの Cloudflare worker を介して悪意のドキュメントを配布したが、UPS.com からダイレクトにダウンロードされたように見せかけることが可能だった。
偽 UPS フィッシング詐欺を分析する
このメールには、悪質な動作を行わない多数の正規のリンクが含まれている。しかし、追跡番号は UPS のサイトへのリンクであり、ページを開いたときに悪意の JavaScript をブラウザに注入するという、XSS 脆弱性のエクスプロイトが含まれている。最終的に、攻撃者の Cloudflare プロジェクトから、このページは悪意の Word 文書 [VirusTotal] をダウンロードする。
このフィッシング・キャンペーンが非常に狡猾なのは、この URL にアクセスしたユーザーに正規の ups.com の URL を表示した上で、請求書のダウンロードを促す点である。この手口により、被害者は UPS からの本物のファイルだと思い、疑いを持たずに請求書を開いてしまう可能性が高くなる。この UPS.com の XSS 脆弱性は、その後修正されている。BleepingComputer は、この攻撃について UPS に質問をしましたが、現在のところ返答はない。
謎の偽「インボイス」文書
ダウンロードされた文書は「invoice_1Z7301XR1412220178」という名前で、UPS からの出荷請求書を装っている。ドキュメントを開くと、すべてのテキストが読めなくなり、ドキュメントを正しく表示するために、コンテンツを有効にするようユーザーに促される。それを有効にすると、マクロによりファイルがダウンロードされるが、この URL はもはや機能していないため、ペイロードを確認することはできない。
このフィッシング詐欺は、悪意のファイルを、説得力のある形で配布する。つまり、脅威アクターの創造性が進化したと捉えられる。電子メールの送信者は、明らかに疑わしいドメインを示していたが、XSS の脆弱性により、UPS の正規の URL とダウンロードページのように表示され、多くの人が騙されることになった。
先日に「Prometheus TDS という MaaS (Malware-as-a-Service) とトラフィック操作攻撃」という記事をポストしましたが、TDS とは Traffic Direction System のことであり、マルウェアが混入された Word や Excel のドキュメントを配布することで、ユーザーをフィッシング・サイトなどに誘導することを目的とした MaaS だと説明されていました。この UPS のフィッシングと Prometheus 関係は不明ですが、こんな詐欺行為のための Malware-as-a-Service が存在しているようです。いま、流行っているフィッシングには、「米 SEC 下部組織 FINRA の名を語るフィッシング攻撃が横行している」や、「Microsoft Office 365 ユーザーを狙う狡猾なフィッシングに要注意」などがあるようです。
IoT OT Security News 