BazarCall フィッシング攻撃:コールバック型で進化するソーシャル・エンジニアリング

Callback phishing attacks evolve their social engineering tactics

2022/10/08 BleepingComputer — コールバック・フィッシング攻撃により、ソーシャル・エンジニアリングの手法が進化している。攻撃の第一段階においては、従来の手法である偽のサブスクリプションへの誘い文句を用いながら、被害者が感染やハッキングに対処するのを、手助けするような手法へと変化している。この攻撃が成功すると、被害者のデバイスはマルウェア・ローダーに感染し、リモートアクセス型トロイの木馬/スパイウェア/ランサムウェアなどの、追加のペイロードがドロップされる。

コールバック・フィッシング攻撃は、高額なサブスクリプション・サービスを装うEメール・キャンペーンを介して、それらのサービスに加入した覚えがない受信者を、混乱させるように仕組まれている。

被害者が受け取ったメールを読み、そこに記載されている番号に電話をかけると、この ”サブスクリプション” について把握し、解約をすることができる。しかし、被害者のデバイスにマルウェアを展開する、ソーシャル・エンジニアリング攻撃につながるものであり、さらには、本格的なランサムウェア攻撃に発展する可能性もある。

Trellix の新しいレポートによると、最新のキャンペーンは、米国/カナダ/英国/インド/中国/日本などのユーザーを標的としているという。

BazarCall の最新キャンペーン標的のヒートマップ (Trellix)

すべての始まりの BazarCall

コールバック型のフィッシング攻撃は、2021年3月に BazarCall という名前で登場している。その頃から、脅威アクターは、ストリーミング・サービス/ソフトウェア製品/医療サービス会社などのサブスクリプションを装い、解約のための電話番号を含むメールを送信するという手法を用いるようになった。

Original BazarCall callback phishing email
BazarCall のコールバック・フィッシング・メールの原文

この番号に被害者が電話をかけると、マルウェア BazarLoader をインストールするための、悪質な Excel ファイルのダウンロードを促す一連のステップが、脅威アクターから案内される。BazarLoader は、感染させたデバイスへのリモートアクセス、あるいは、企業ネットワークへのイニシャル・アクセスを提供し、最終的に Ryuk/Conti ランサムウェア攻撃につながるものだ。

コールバック型フィッシング攻撃とは、Silent Ransom Group/Quantum/Royal などの、数多くのハッキング・グループにより利用されており、時間の経過と共に深刻な脅威として浮上してきた。

ソーシャル・エンジニアリングの新たな手口

フィッシング・メールのルアーとして、Geek Squad/Norton/McAfee/PayPal/Microsoft などの請求書が用いられる点は変わらないが、最近のコールバック・フィッシング・キャンペーンでは、ソーシャル・エンジニアリングのプロセスが変化している。

Geek Squad のコールバック・フィッシング・メールの例
Source: BleepingComputer

指定された番号を介して、被害者が詐欺師に電話をかけると、確認のために請求書の詳細を伝えるように要求される。続いて詐欺師は、システム内に一致する項目がなく、被害者が受け取ったメールはスパムであると述べる。

そして、カスタマー・サービスの担当者を装う人物は、スパム・メールが原因となり、被害者のデバイスがマルウェアに感染している可能性があると警告し、技術専門家につなぐよう提案する。しばらくすると、被害者を助けると偽り、別の詐欺師が電話をかけ、アンチウイルス・ソフトを装うマルウェアをダウンロードさせる Web サイトへと被害者を誘導する。

また、PayPal を装うフィッシング攻撃では、被害者に PayPal を使用しているかどうかを尋ねた後に、被害者のEメールをチェックして、世界中の様々な場所に分散している8台のデバイスから、被害者のアカウントにアクセスされたとする手口が用いられている。

セキュリティ・ソフトの契約更新キャンペーンでは、脅威アクターは被害者に対して、ノートパソコンにプリインストールされているセキュリティ製品の有効期限が切れたと伝え、保護を延長するために自動的に更新されたと主張する。最終的に、脅威アクターは被害者を解約と返金のポータルに誘導するが、このポータルがマルウェアを送り込むサイトになっている。

Various websites used in the recent BazarCall campaigns
BazarCall の最近のキャンペーンで使用された様々な Web サイト (Trellix)

これらのキャンペーンの主目的は、被害者にマルウェアをダウンロードさせることだ。ダウンロードされるマルウェアは脅威アクターにより異なるが、BazarLoader/リモートアクセス型トロイの木馬/Cobalt Strike などの、リモートアクセス・ソフトウェアになる可能性が生じる。

デバイスの遠隔操作

Trellix によると、最近のキャンペーンの大半においては、support.Client.exe という ClickOnce 実行ファイルをプッシュし、起動すると ScreenConnect リモート・アクセス・ツールがインストールされるという。

さらに同社は、「脅威アクターは偽のロック画面を表示し、被害者からシステムにアクセスできないようにし、そこで被害者が気づかないうちにタスクを実行する」と説明している。セキュリティ・アナリストたちが発見したケースでは、脅威アクターが偽の解約フォームを開き、被害者に個人情報を記入するよう求めるケースもあった。最終的に、被害者は返金を受け取るために、銀行口座にログインするよう促され、そこで脅威アクターに送金するように誘導される。

Trellix は、「つまり、被害者の画面をロックして転送要求を開始し、トランザクションで OTP (One Time Password) やセカンダリ・パスワードが必要な状況へと導き、画面のロックを解除することにで達成される。また、被害者に偽の返金成功ページを提示し、返金を受けたと信じ込ませる。また、詐欺師は、被害者に詐欺を疑わせない追加の手口として、偽の送金メッセージを SMS で被害者に送ることもある」とレポートで説明している。

もちろん、金銭的な損失は、感染したユーザーが直面する問題の一つに過ぎない。脅威アクターは、いつでも追加の厄介なマルウェアをドロップし、長期にわたってスパイ行為を行い、高度な機密情報を盗むことができるからだ。

あなたのデバイスは、マルウェアに侵害されていると信じ込ませ、そこから救出すると信じさせ、詐欺を働くという、新たなソーシャル・エンジニアリングの手法が流行っているようです。詐欺師は標的に対して、まずは精神的に追い込むかたちを作り、そこから犯行へと至ります。基本的に、オレオレ詐欺と同じですが、この場合には PC やスマフォの画面に、偽のエビデンスが示されるわけです。はっきり言って、かなり厄介な状況です。まずは、フィッシング・メールが届かないよう、テクノロジー・リーダーたちに頑張って欲しいです。よろしければ、カテゴリ Scammer も、ご利用ください。

%d bloggers like this: