Phishing Campaigns Target KFC, McDonald’s in Saudi Arabia, UAE, Singapore
2022/10/03 InfoSecurity — シンガポール/サウジアラビア/UAE の KFC と McDonald’s の顧客がフィッシング・キャンペーンに狙われ、一部の顧客の支払情報が脅威アクターにより盗み出された。CloudSEK のセキュリティ研究者たちが発見した一連のキャンペーンだが、その当初の手口は、Google Play ストアに成りすましたドメインを経由して、悪質な Chrome ブラウザベースのアプリを表示させるというものだった。
この攻撃では、ユーザーが不正な URL にアクセスし、ダウンロード・ボタンをクリックすると、ボタンのテキストが “インストール” に変わる。その後に、ユーザーは、ブラウザ・アプリケーションである KFC Saudi Arabia 4+ をインストールするよう促される。
週末のアドバイザリで CloudSEK は、「アプリをインストールすると、ユーザーのデスクトップ上にプショートカットが生成される。KFC Saudi Arabia 4+ のアプリをダブルクリックすると、Chrome ベース・アプリのウィンドウが開き、サイトからデータ読み込まれる。しかし、この分析の時点においては、すでに問題のサイトはダウンしているようだ」と述べている。
さらに、同チームは、KFC を標的にした2つ目のフィッシング・サイトを発見した。そして、「それは、被害者のカード情報を盗むための、高度で精巧なフィッシング・サイトだ。このサイトから被害者が注文しようとすると、ポップアップ・ウィンドウが表示され、フォームに詳細を記入するよう促される」と詳述している。
CloudSEK のアドバイザリによると、このフォームは上手く設計されており、ユーザーが住所を入力する際に、Google Maps API の使用を提案していたという。さらに、送信されるカードが有効であることを確認するために、Luhn アルゴリズムを満たす支払いカード情報のみを受け付けていたようだ。
同社の技術レポートには、「カードの詳細を送信した後に、被害者は SMS で受信したワンタイム・パスワード (OTP:One Time Password) を入力するよう促された。OTP の入力後に、被害者は McDonald’s を装った別のWeb サイトに移動する。しかし、レポートの執筆時点では、このサイトは非アクティブだった」と記されている。
研究者たちは、Passive DNS と IP 逆引きを使用して、KFC と McDonald’s になりすましたサイトが使用しているサーバーで、ホストされている追加のドメインを発見した。彼らは「ユーザーは、サイトを訪問して個人情報/銀行情報を送信する際に、警戒する必要がある」と警告している。
また、このアドバイザリでは、ブランド名/商標を装ったドメインを、企業が特定して報告し、購入プロセスについて顧客を教育するための、包括的な意識向上キャンペーンの実施を提案している。
一般的に、脅威アクターは、フィッシング攻撃などの手口を常に進化させている。最近の事例としては、Microsoft Sway を利用したフィッシング・キャンペーンを、Proofpoint のセキュリティ研究者たちが発見している。
今日の「Chromium アプリ・モードの危険性:Chrome/Edge/Brave ユーザーの盲点を突く攻撃手法」という記事で説明されているのが、Chrome ベース・アプリのようです。そこには、「このアプリ・モードの機能により、正規のログイン画面と見分けがつかない、リアルなログイン画面を生成することが可能となる」と記されています。詳しくは、上記のリンクで、ご確認ください。KFC と McDonald’s に限らず、Chrome ベース・アプリは便利で使いやすいものですが、注意が必要ですね。
IoT OT Security News 
You must be logged in to post a comment.