TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

中国の脅迫グループが静的フィッシングページを廃止し、ライブ認証情報インターセプションに転換

Google研究者は、中国のフィッシング・アズ・ア・サービス(PhaaS)の環境が過去数ヶ月間で急速に拡大し、高度化していると警告しています。

成熟したフィッシングサービスを運営するサイバー脅迫アクターの多くはアジア全域の犯罪エコシステムに関連している可能性がありますが、静的なパスワード収集から実時間での認証情報インターセプションとトークン化へと大きくシフトしています。

「Lighthouse」SMSフィッシング(スミッシング)キットを運営するあるグループは、2025年11月にGoogleが提起した訴訟の対象となりました。

しかし、これは氷山の一角に過ぎません。5月25日に公開された新しいレポートで、Google脅威インテリジェンス グループ(GTIG)は、中国のアンダーグラウンドで少なくとも他に十数個の活発なPhaaS提供が観察されたと述べています。

実時間認証情報盗難戦術

GTIGは、フィッシングサービスの支配的な市場であるロシアベースのPhaaS運用では通常大企業の顧客を標的としますが、中国語フィッシングサービスはより広い範囲をキャストし、機会的に一般大衆を標的としていると述べています。

レポートは、これらのサービスによって詐称されている組織の大部分が非中国企業であること、オペレーターが意図的に国内ターゲットを回避することを示唆していることを強調しています。

上位の標的国は日本、米国、オーストラリア、香港、およびアラブ首長国連邦を含みます。

GTIGは、これらの中国語オペレーターを際立たせるいくつかの注目すべき戦術を特定しました。

第一に、従来のSMSに頼るのではなく、中国のフィッシングオペレーターはリッチコミュニケーションサービス(RCS)やApple iMessageなどの暗号化されたメッセージングプロトコルに転換してフィッシング詐欺を配信しています。これらのプロトコルが使用するエンドツーエンド暗号化により、インフラレベルのフィルターが悪質なリンクを検出してブロックすることが大幅に困難になります。一方、それらの豊富な機能セット(例:既読確認、高解像度メディア、タイピング表示)は、フィッシングメッセージを潜在的な被害者にはるかに説得力のあるものに見せかけます。

詳しく読む:エンドツーエンド暗号化されたRCSメッセージングがiPhoneとAndroid全体に到着

さらに重要なことに、GTIGは実時間認証情報インターセプションへの最近のシフトを強調しています。

「ライブ管理パネルを使用することで、攻撃者は被害者とリアルタイムで対話してワンタイムパスコード(OTP)をキャプチャでき、多要素認証(MFA)を瞬時にバイパスできます」とGTIG研究者は述べています。

実際には、被害者がフィッシングページに認証情報を入力すると、そのデータは攻撃者が制御する管理パネルにすぐに表示されます。攻撃者は次に、自分のデバイスでOTP要求を同時にトリガーし、有効期限が切れる数秒前にコードをキャプチャしてMFA保護を効果的に無効化できます。

オペレーターは、盗まれた支払い詳細を現金化するためにデジタルウォレットプロビジョニングも悪用しています。キャプチャされた認証情報とOTPを使用して、攻撃者は被害者の支払いカードを攻撃者が制御するデバイスのデジタルウォレットにプロビジョニングし、高額トランザクション、非接触型支払い、ATM出金を可能にします。

一部のプラットフォームは、送金詐欺と株式操作のアカウント乗っ取りを容易にするよう設計された仲介業者向けテンプレートも提供しています。

最後に、GTIGはスケール化と検出回避を可能にするためのAI使用の増加を指摘しました。

例えば、GTIGが脅威アクターUNC5814にリンクされているDarcula PhaaSプラットフォームは、静的フィッシングテンプレートを放棄し、HTMLやCSSやJavaScript、視覚的要素を複製して正当なウェブサイトをクローンできるAI駆動ページジェネレーターとブラウザ自動化ツールに移行しました。生成された各フィッシングページは一意であるため、従来の署名ベースの検出方法はますます効果がなくなります。

中国製フィッシング・アズ・ア・サービスツールを含む典型的な攻撃チェーンの例。出典:Google脅威インテリジェンス グループ

中国のPhaaS運用者は完全な犯罪スイートを提供しており、それらを誇らしげに見せています

GITGレポートは、最も洗練された中国のPhaaSプラットフォームがフィッシングキット以上のサービスを提供していることを述べています。

これらの悪意のあるベンダーの一部は、個人識別情報(PII)の販売、ドメイン登録および仮想プライベートサーバー(VPS)ホスティング、マネーロンダリング、IMSIキャッチャー、スパムメッセージング支援、盗まれた支払いカード取引を含む包括的な犯罪サービススイートを売却しています。

Google研究者は、一部の中国のPhaaS運用者におけるサイバーハイジーンと運用セキュリティ(OpSec)の欠如も観察しており、特定の個人がTelegramでサービスを公然と宣伝し、同じチャネルで豪華なライフスタイルを誇示する写真を定期的に投稿しています。

翻訳元: https://www.infosecurity-magazine.com/news/chinese-phishing-live-credential/

ソース: infosecurity-magazine.com
#AI駆動攻撃 #MFA #OTP #PhaaS #RCS #デジタルウォレット #フィッシング #中国のサイバー脅迫 #詐欺 #認証情報窃盗

関連記事

BTMOB Android RAT:ノーコードビルダーツール経由で拡散

インドのCERT-Inが露出した脆弱性に12時間のパッチ期限を設定

イランと関連するハッカーがフィッシングとSEOポイズニングキャンペーンでUS航空業界を狙う