大規模なフィッシングキャンペーンが現在、米国の組織を標的としており、偽のイベント招待状を利用して認証情報を盗み、ワンタイムパスワード(OTP)を傍受し、正当なリモート監視・管理(RMM)ツールをデプロイしています。
攻撃は、被害者が悪意のあるリンクをクリックし、Cloudflareなどの信頼できるプロバイダがホストしている標準的なCAPTCHAチェックが表示されるときに始まります。
検証されると、ユーザーは欺瞞的なイベント招待ページにリダイレクトされます。このエントリーポイントから、キャンペーンは2つの主要な攻撃パスに分かれます。リモートアクセスツール配信または認証情報傍受です。
攻撃者がリモートアクセスを確立することを目的としている場合、フィッシングページはユーザーにダウンロードボタンをクリックするよう促すか、正当なRMMソフトウェアのダウンロードを自動的に開始します。
観測されたペイロードには、ScreenConnect、ITarian、Datto RMM、ConnectWise、LogMeIn Rescueなどの広く使用されているITツールが含まれています。
これらは信頼できるコマーシャルアプリケーションであるため、基本的なセキュリティフィルタを頻繁にバイパスし、攻撃者にネットワークへの静かな足がかりを与えます。
目的が認証情報盗難の場合、被害者は偽のイベント招待状を表示するためにサインインするよう促されます。
このキャンペーンは高度に構造化された傍受フローを備えています。Google以外のサービスの場合、フィッシングページはメールとパスワードを要求し、最初の試みを「パスワードが間違っています」として意図的に拒否します。
これにより、ユーザーは再入力するよう強制され、攻撃者が2番目のエントリをキャプチャしてOTPコードをリクエストする前にタイプミスを修正することができます。
しかし、Googleユーザーは、彼らのログイン、パスワード、訪問者IDを体系的に収集してから、本物のGoogleホームページに静かにリダイレクトする偽の認可フォームを通じて送られます。
このキャンペーンは、教育、銀行、政府、テクノロジー、ヘルスケアを含む高リスク部門全体の米国組織を重点的に標的としています。
研究者は、このキャンペーンに関連した約80のフィッシングドメインを特定しており、主に2025年後半から.deトップレベルドメインで登録されています。
このキャンペーンの独特の特徴は、その順序付きリソースリクエストです。ユーザーが悪意のあるリンクを開くと、サイトは/favicon.icoから始まって/blocked.htmlへと、予測可能な順序で特定のファイルをリクエストします。
翻訳元: https://cyberpress.org/fake-invitations-steal-credentials/
