Firebase, Google Apps Script Abused in Fresh Phishing Campaigns
2025/05/30 SecurityWeek — 先日に確認された2件のフィッシング攻撃キャンペーンについて、サイバー・セキュリティ研究者たちが注意を呼びかけている。それらの攻撃キャンペーンは、正規サービスである Firebase と Google Apps Script を悪用して、無防備なユーザーを悪質なコンテンツに誘い込むものだ。2025年5月中旬に Trellix が発表したのは、Rothschild & Co の従業員を装うスピア・フィッシング攻撃が、カナダ/ヨーロッパ/中東/南アジア/アフリカの、銀行/電力/保険/投資などの組織の財務幹部を標的としていたことだ。
ある悪意のメールには、Firebase でホストされている Web ページだと特定された、偽のパンフレットが取り込まれているが、数学クイズ形式のカスタム CAPTCHA の裏側に隠されていた。CAPTCHA を解くと、VBS スクリプトを取り込んだ ZIP ファイルが提供されるという仕掛けである。
このスクリプトは、被害者のシステムに NetBird と OpenSSH をサイレント・インストールし、隠しローカル管理者アカウントを作成し、RDP を有効化するように設計されており、その結果として、リモートの攻撃者がマシンにアクセスできるようになる。
Trellix によると、この多段階攻撃は、防御ソリューションと人間による検出を回避し、正規のリモート・アクセス・ツールである NetBird を介して、被害者のマシンに永続的にアクセスするように設計されており、壊滅的な被害を引き起こす可能性があるという。
その一方で Cofense は、Google Apps Script を悪用して検出を回避するように設計された、別のフィッシング・キャンペーンに関する情報を公開した。Google Apps Script は、Google の多様な製品群に統合されている、正規の開発プラットフォームである。
このキャンペーンは、障害者支援や健康機器のプロバイダーの正規ドメインを偽装し、切迫感を醸し出し、偽の請求書へのリンクを受信者にクリックさせ、Google Apps Script により請求書ページへと誘導するという、フィッシング・メールを用いている。
Cofense は、「Google の信頼できる環境内に、フィッシング・ページをホストすることで、本物であるという錯覚が作り出されている。それにより受信者を騙して、機密情報を窃取しやすくしている」と述べている。
このフィッシング・ページでは、‘preview’ ボタンをクリックするようにユーザーを誘導する。続いて、それがクリックされると、正規の Microsoft ログイン・ページを模倣する、偽のログイン・ウィンドウがポップアップ表示される。Cofense によると、この設定全体は “script[.]google[.]com” でホストされており、ユーザーに信頼感を与えることを目的としているとのことだ。
つい先日には ESET が、人気の電子署名会社 Docusign を装うフィッシング攻撃について警告していた。偽装された Docusign エンベロープ添付のメールを受け取った受信者は、文書の確認または QR コードのスキャンを求められる。そして、QR コードをクリックすると、偽の Microsoft ログイン・ページが表示される仕掛けになっていたという。
Firebase や Google Apps Script のような、信頼されている正規サービスが悪用されると、ユーザーの警戒心が薄れがちで、本物と見分けがつき難くなります。見た目がしっかりした CAPTCHA やログイン画面が用意されていると、信じてしまう心理も理解できます。リンク先の URL チェックなどの対策が、とても大切な時代になってきています。よろしければ、Phishing で検索も ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.