Microsoft に成りすます TodayZoo フィッシング攻撃に御用心

Microsoft Warns of TodayZoo Phishing Kit Used in Extensive Credential Stealing Attacks

2021/10/23 TheHackerNews — 木曜日に Microsoft は、ユーザーのログイン情報を吸い上げるために、少なくとも5種類の流通しているコンポーネントを組み合わせた、カスタム・フィッシングキットを利用するクレデンシャル・フィッシング・キャンペーンに関する情報を公開した。

2020年12月に、このツールの最初の事例を検出した Microsoft 365 Defender Threat Intelligence Team は、このコピー&ペースト型の攻撃インフラを TodayZoo と名付けた。

Microsoft は、「フィッシング・キットなどのツールが広く販売/貸与されることで、単独で行動する攻撃者であっても、これらのキットから最適な機能を選ぶことが容易になっている。彼らは、これらの機能をカスタマイズしたキットにまとめ、その恩恵を独り占めしようとする。TodayZoo も、その事例である」と比較すると。

フィッシング・キットに含まれるのは、画像/スクリプト/HTML ページなどのアーカイブ・ファイルをパッケージ化したものである。これを利用する脅威アクターたちは、フィッシング・メールやフィッシング・ページを設定することでターゲットをおびき寄せ、そこで収集した認証情報などを、攻撃者が管理するサーバーに送信することが可能となる。

今回の TodayZoo フィッシング・キャンペーンも、パスワードリセットや FAX/スキャナの通知を装って Microsoft になりすまし、認証情報を収集するページに誘導するという点では同じである。このフィッシング・キットは、他のキットのコードを組み合わせて作られており、そこで用いられるリソースは多種多様である。

具体的には、フレームワークの大部分が、DanceVida と呼ばれる別のキットから大量に導入されている。また、模倣や難読化に関連するコンポーネントは、従来からの Botssoft/FLCFood/Office-RD117/WikiRed/Zenfo フィッシング・キットのコードと広範囲で重なっている。リサイクルされたモジュールを使用しているにもかかわらず、TodayZoo は独自の流出ロジックで置き換えることで、DanceVida とは異なるクレデンシャル収集の方式を実現している。TodayZoo の特徴はというと、継ぎ接ぎによる再生にあり、脅威アクターがフィッシング・キットを利用する方法が多様であることを示している。

Microsoft は、「今回の調査で観測された現象は、入手可能なフィッシング・キットの大半が、大規模なキットの中のより小さなクラスタをベースにしていることだ。この傾向は以前にも観察されているが、我々が見たフィッシング・キットが、大量のコードを共有していることを考えると、それが標準であることに変わりない」と述べている。

最近の、この種のトピックとしては、「Microsoft 警告:Phishing-as-a-Service (PHaaS) が流行りだしてきた」、「Bank of America インサイダーが関与した BEC 詐欺とマネロンとは?」、「Hydra トロイの木馬 for Android:ドイツ第二の銀行の 1800万人がターゲット」、「Bitcoin.org で詐欺が発生:一夜で $17,000 が騙し取られた」などがあります。よろしければ ど〜ぞ。

%d bloggers like this: