Typosquat Campaign Targeting Android, Windows Users Now Counts 600+ Domains
2022/10/26 InfoSecurity — この週末に Cyble と BleepingComputer が発見した大規模なタイポスクワット・キャンペーンだが、それに関連する大規模なドメイン群を示唆する、いくつかの兆候がセキュリティ研究者たちにより明らかにされた。一連の攻撃では、Windows/Android ユーザーが標的とされ、200種類以上のタイポスクワット・ドメインにおいて、27件のブランドが模倣されていた。現時点において DomainTools は、さらに疑わしいインフラを発見したと説明しており、InfoSecurity と共有するブログ投稿で、その詳細を説明している。
この技術文書には、「ホストの IP アドレスを超える DNS ベースのピボットを含めると、疑わしいドメインのリストは 600以上に増加する。そのうちの9つは先週に作成され、現時点で 400以上がアクティブであり、セキュリティ・サードパーティが提供する脅威情報フィードやブロッキング・リストには掲載されていない」と記されている。
続いて、「人気の Vidar ステーラーや他のマルウェアとの関連性から、最終的な目標を推測すると、アプリのアカウント/暗号ウォレットといった認証情報を盗むことにあるようだ。おそらく、さらなる悪意のアクティビティのためのプロキシとして、感染させたホストを使用すると結論付けられるだろう」と指摘している。
大半のドメイン登録は 2022年後半に行われているが、DomainTools チームが確認した記録によると、そのスタートは 2021年の秋にさかのぼるという。同社は、確認された 600以上のドメインの完全なリストを作成しており、このリンクから入手することが可能となっている。
新たなドメインを確認したセキュリティ研究者たちによると、それらは全て、類似したWeb ページ・デザインとルアーを使用しているように見えるようだ。
彼らは、「これらのドメインは、類似のパターンに従っているようだ。そして、各種のマルウェアを配信するが、その大半は、感染させたデバイス上で持続的に動作する。したがって、疑いを持たないターゲットを騙して、新たなルアーを配信するために悪用する可能性もある」と指摘している。
DomainTools は、悪意のサイトの詳細は検証していないが、一連のキャンペーンに関連する活動が認識され、さらなる調査が行われるまで、これらのドメインを避ける必要があると述べている。
同社は、「防御者に対しては、悪意の有無を判断できるまで、これら 600種類以上の疑わしいドメインを直ちにブロックするか、警告することが推奨される」と述べている。
フィッシング攻撃の成功確率を高めるために、サイバー犯罪者たちが用いる新戦術については、サイバー・セキュリティ・ブロガーである Farwa Sajjad の分析が有用である。
Android/Windows ユーザーを狙う、大規模タイポスクワット・キャンペーンの一貫として 600+ ドメインが確認されたとのことです。一連の悪意のドメイン名に対する、ブロッキングが推進されると良いですね。この記事では、ドメイン名に関するタイポスクワットにフォーカスしていますが、6月12日の「PyPI パッケージ keep に含まれるタイプミス:悪意の依存関係とパスワード窃取」は、ライブラリ名に関するタイポスクワットが取り扱われています。さまざまな局面に、このようなトラップが潜んでいると認識すべきなのでしょう。
IoT OT Security News 
You must be logged in to post a comment.