Beware of New Phishing Attack that Abuses Cloudflare and ZenDesk Pages to Steal Logins
2025/11/03 CyberSecurityNews — 正規のクラウド・ホスティング・サービスへの信頼を悪用する、巧妙なフィッシング攻撃が出現した。この脅威アクターは、Cloudflare Pages および Zendesk プラットフォームを悪用し、無防備なユーザーを標的とする大規模な認証情報窃取の作戦を実行している。この攻撃が示唆するのは、既存のインフラ・サービスがソーシャル・エンジニアリング攻撃の媒介となるという懸念すべき傾向である。
セキュリティ研究者たちが特定した、”*.pages[.]dev” ドメイン構造に登録された 600 以上と推定される悪意のドメインは、組織的な攻撃の兆候を示している。
これらの脅威アクターは、タイポスクワッティングの手法を用いて、有名ブランドのカスタマー・サポート・ポータルを偽装している。正規のサービスに酷似したドメインを登録することで、攻撃者は説得力のある偽装を達成し、ユーザーの防御力を弱めている。
EclecticIQ のサイバー脅威インテリジェンス・アナリストである Arda Buyukkaya は、複数のドメインに見られる不審なパターンに気づき、この進行中のフィッシング攻撃インフラを特定し、文書化した。
この攻撃手法は、ソーシャル・エンジニアリングと高度な技術を融合している。脅威アクターたちが手法を進化させ続け、従来のセキュリティ意識を回避している状況を明らかにしている。
感染とソーシャル・エンジニアリングのメカニズム
一連のフィッシング・ページでは、人工知能で生成され説得力のある悪意のコンテンツが提供されている。また、それぞれのページには、被害者とインタラクトするために、人間のオペレーターが対応するライブチャット・インターフェイスが組み込まれている。
このオペレーターたちは、技術サポートを装いながら電話番号やメールアドレスを要求することで、詐欺のプロセスを進めていく。
十分な個人情報を収集した悪意のオペレーターは、被害者に対して LogMeIn Rescue (リモートサポート・ツール) をインストールするよう指示する。Rescue は正規のツールだが、侵害されたシステムにインストールされると危険な状況を生み出す。
このインストールにより攻撃者が許可されるのは、被害者のデバイスへの完全なリモート・アクセスであり、機密データやアカウント認証情報を自由に収集できるようになる。
続いて脅威アクターたちは、Google Site Verification や Microsoft Bing Webmaster トークンを SSO ポイズニングに悪用することで、さらに攻撃対象領域を拡大する。
彼らの主な目的は、金銭目的のアカウント乗っ取りと詐欺であり、この攻撃は企業/個人のユーザーのとって深刻な脅威となっている。
正規のクラウド・ホスティング・サービスを悪用して信頼性を装うという、新たなフィッシング攻撃が発見されました。この攻撃者が偽装するのは、Cloudflare Pages や Zendesk といった実績あるプラットフォーム上であり、ユーザーに本物だと誤認させて情報を引き出しています。さらに、AI 生成ページやライブチャット機能を用いて自然なインタラクションを達成し、被害者にリモート・ツールを導入させると、この記事は指摘しています。よろしければ、Phishing で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.