Threat Actors Increasingly Use Telegram For Phishing Purposes
2023/04/06 InfoSecurity — フィッシング技法の開発に注目する脅威アクターたちが、アクティビティの自動化や各種のサービス提供において、Telegram を悪用するケースが増えている。このような傾向は、Kaspersky のサイバー・セキュリティ専門家たちの調査/分析によるものである。水曜日のアドバイザリで、Web コンテンツ・アナリストである Olga Svistunova は、「フィッシャーたちは商品を宣伝するために Telegram チャネルを作り、そこでフィッシングについて聴衆を教育し、投票によりサブスクライバーを楽しませている。このようなチャネルへのリンクは、彼らのフィッシング・キットや YouTube/GitHub などを通じて拡散される」と述べている。
Kaspersky が観察した、この種の悪意のチャネルの多くは、フィッシング・ページの生成やユーザー・データの収集などを自動化する、悪意のあるルーチン・ワークフローをユーザーに提供していた。
これらのキャンペーンの一部として提示されたフィッシング・キットは、標的であるユーザーの認証情報を受け取り、ボットへと転送するスクリプトを含むという、プリミティブなものである。それであっても、これらのキャンペーンは効果的であったと、Svistunova は述べている。
簡単に作成できる偽ページとは、たとえば TikTok で大量のイイネを約束するものであり、メッセージのリンクをクリックした被害者は、本物そっくりのログインフォームを提示されるという。
Kaspersky は、オンライン・バンキングの認証情報を販売するために悪用される、別の Telegram チャネルも発見したという。このアドバイザリには、「そこでは口座のチェックが行われ、残高さえもが抽出されている。残高の多い口座のデータほど、その認証情報に対する対価は大きくなる」と記されている。
Svistunova のチームは、Phishing-as-a-Service を宣伝する、Telegram チャンルについても警告を発している。
彼女は、「詐欺師は Telegram チャンルを悪用して、カスタマー・サポートなどを提供する、各種のサブスクリプションを販売している。たとえば、フィッシング・ツール/アンチ・ディテクション・システム/フィッシング・キットにより生成された、リンクの定期的な更新などが、それらのサポーにより提供される」と指摘している。
フィッシャーたちは、様々なテクニックを Telegram 上で用いるが、それらを見抜くための簡単な方法があると、Kaspersky は述べている。
Svistunova は、「フィッシング・ボットが生成した悪質なサイトは、同じドメインにホストされている。また、HTML コードの一部を共有している場合もある。そのドメインが出現してからというもの、そのドメイン内にあるページにアクセスしようとする試みを、合計で 1483件も検知している」と述べている。
以前に Cofenseの レポートが、フィッシング情報の流出先としての Telegram ボットの利用が、2021年から2022年にかけて 800% も増加すると指摘していた。それから、およそ4ヶ月後に、この Kaspersky のアドバイザリが提供された。
Telegram の特徴である通信の秘匿性は、圧政に苦しむ人々のプライバシーと身の安全を守る一方で、サイバー犯罪者たちにも悪用せれるというポジションを作り出しています。それが、ダークウェブ化しているという話です。2023/03/27 の「MacStealer という新たな macOS マルウェア:iCloud Keychain からパスワードを窃取」でも、Telegram チャネルが悪用されていると述べられているように、フィッシング行為の常套手段として悪用されているようです。
IoT OT Security News 
You must be logged in to post a comment.