研究者によると、このキャンペーンはブラウザベースのJavaScript仮想マシンを使用して、認証情報の盗難を隠し、大規模でMFAを傍受しています。
FlowerStormとして知られている広く活動しているフィッシング・アズ・ア・サービス(PhaaS)運用は、認証情報盗難コードを隠すためにブラウザベースの仮想マシンを使用し始めました。研究者によると、これはフィッシングキットの高度化のエスカレーションであり、従来のメールおよび静的分析ツールによる攻撃検出をより困難にする可能性があります。
Sublime Securityの研究者は4月に、GitHubで最近公開されたオープンソースのJavaScript仮想マシンであるKrakVMを使用してフィッシングメールのHTML添付ファイルを通じて配信された悪意のあるコードを難読化するキャンペーンを特定したと述べました。
このキャンペーンはMicrosoft 365、Hotmail、GoDaddyなどのサービスの認証情報とマルチファクタ認証(MFA)コードをターゲットにしながら、認証済みセッションをハイジャックするために設計された中間者(AiTM)傍受技術もサポートしています。
「このキャンペーンが注目される理由は、プロジェクトの公開からわずか1ヶ月以内にKrakVMを配信ラッパーとして採用したことです」と研究者はレポートに書いています。
これらの知見は、フィッシング作戦が仮想化実行環境とレイヤード難読化フレームワークを含む、従来は高度なマルウェアキャンペーンと関連付けられていた技術をますます採用しているかを強調しています。
フィッシングペイロードを隠すために使用されるブラウザベースの仮想マシン
レポートによると、被害者はボイスメール通知、請求書、またはベンダー通信に偽装されたHTML添付ファイルを含むフィッシングメールを受け取ります。ブラウザで開くと、埋め込まれたJavaScriptは被害者の環境に合わせたカスタマイズされた認証情報収集ワークフローを直ちに起動します。
攻撃チェーンはKrakVMを使用して悪意のあるJavaScriptを暗号化されたバイトコードにコンパイルし、ブラウザ内で実行される仮想マシンを通じて実行されます。
「KrakVMはJavaScriptを読み取り不可能なバイトにコンパイルします」と研究者は書いており、仮想マシンは実行時にペイロードを解釈して実行すると付け加えています。
このアプローチは、静的分析を複雑にし、従来のメールセキュリティツールを回避するように設計された複数層の難読化を追加します。
仮想マシンベースの難読化は長い間、マルウェアパッカーとソフトウェア保護システムで使用されていますが、大規模フィッシングキット内でのその採用ははるかに一般的ではないようです。
キャンペーンが被害者に動的に適応する
難読化解除後、フィッシングペイロードはMicrosoft 365および他のログインポータルに偽装するように設計されたインフラストラクチャを読み込み、対象ユーザーに動的に適応します。
レポートによると、マルウェアはどの認証プロバイダーを偽装すべきかを決定し、被害者のメールアドレスをフィッシングページに事前読み込みし、企業ロゴや背景などのブランド要素をカスタマイズできます。
フィッシングキットは、被害者アカウントに登録されているMFA方法も列挙します。これには、Microsoft Authenticatorプッシュ通知、TOTPコード、SMS認証、音声検証フローが含まれます。
被害者が認証情報を入力すると、キットはそれをコマンド・アンド・コントロールサーバーに転送し、ターゲットサービスに対して実際のログインを試みます。サービスがMFAを要求する場合、キットは被害者に一致するプロンプトを表示し、応答をキャプチャし、攻撃者のセッションを完了するために転送します。
研究者は、フレームワークがリアルタイムAiTM傍受をサポートしており、認証情報とMFAトークンを収集しながら認証セッションをリレーできることを述べています。
「FlowerStormの広く知られているユニークな機能は、高度なAiTMとMFA傍受の機能です」とレポートは述べています。
防御者の検出チャレンジが増加
VMベースの難読化とAiTM対応ペイロードの組み合わせは、メールセキュリティツールの検出ギャップを生成します。
Sublime Securityは、HTMLアタッチメントの「カスタム仮想マシンバイトコード付きの高度に難読化されたJavaScript」の使用のため、部分的にその独自の自律セキュリティアナリストシステムが攻撃を悪意のあるものとして特定したと述べました。
研究者はまた、KrakVMとFlowerStormの両方がデフォルト設定に近く動作しているようであり、キャンペーンが運用者からの高度な技術的洗練さを必要としなかったことを示唆していると指摘しました。
ツーリングの運用がより簡単になれば、VMベースの難読化技術がフィッシングエコシステム全体に急速に広がる可能性があるという懸念が生じます。レポートが追加しています。
より広いフィッシングエコシステムが進化している
レポートによると、このキャンペーンは地域自治体、ロジスティクス、小売、通信、不動産を含むセクターをターゲットにしています。研究者は、裁判所システム、エンタープライズポータル、Microsoft関連サービスに似せるように設計されたドメインを使用しているインフラストラクチャも特定しました。
Sublimeは153の侵害指標を公開しました。シンガポール、バンコク、フランクフルト、東京、ソウル、ジャカルタ、アシュバーンなどの地域にわたるクラウドオブジェクトストレージサービス上の数十のサブドメインを含みます。
研究者はまた、正当なビジネス名を模倣するために英語の単語から組み立てられたドイツ語ドメインを含む、以前のFlowerStorm報告と重複するドメインネーミングパターンを特定しました。
Sophosは2024年12月にFlowerStormを文書化しました。キットはRockstar2FAフィッシングサービスの中断後に出現しました。研究者はKrakVM開発者をFlowerStorm運用にリンクする証拠を見つけなかったと述べています。
セキュリティチームが認証情報盗難、MFA傍受、セッションハイジャック、および分析防止技術を統一された攻撃チェーンにブレンドしたますます高度なフィッシングキャンペーンに直面しているため、これらの知見が出てきます。
「このキャンペーンは、KrakVMの難読化機能の最初の使用を表す可能性が高いです」と研究者は書きました。「採用が増えるにつれて、より複雑な実装を予想しています。」
