急速に拡大する中国語圏のPhaaS(フィッシング・アズ・ア・サービス)エコシステムが、脅威アクターによる認証情報の窃取や多要素認証(MFA)の回避方法を根本的に変えつつある。
Googleの脅威インテリジェンスグループ(GTIG)による最新の脅威インテリジェンスによると、こうした成熟した犯罪ネットワークは静的なパスワード収集から脱却しつつある。
代わりに、リッチコミュニケーションサービス(RCS)やAppleのiMessageなどの暗号化通信チャネルを積極的に活用し、従来の通信キャリアのセキュリティフィルターを回避している。
この進化は、被害者の金融口座への直接的・不正なアクセス制御を最終目標とする、高度に自動化された脅威の状況を明らかにしている。
主に企業顧客を標的とするロシア語圏のPhaaS組織とは異なり、中国語圏のサービスは一般大衆を機会主義的に標的とする。
Telegramなどのプラットフォームで公然と活動するこれらの脅威アクターは、人工知能(AI)によるページ生成、仮想プライベートサーバー(VPS)、リアルタイム傍受ツールなどの包括的なサービスを提供している。
RCSとiMessageのエンドツーエンド暗号化を悪用することで、攻撃者はサーバーサイドの検査を容易に回避する悪意あるリンクを送り込む。
これらのメッセージには、入力中インジケーターや高解像度画像といったリッチなエンゲージメント機能が含まれることが多く、一般的なスマートフォンユーザーには驚くほど正規のものに見えるソーシャルエンジニアリングの罠となっている。
現代のフィッシング攻撃は、もはや静的なパスワードを入力させることだけに頼らない。iMessageやRCS経由で送られた悪意あるリンクを被害者がクリックすると、入力されたデータが即座にライブの管理パネルに反映される。
これにより、攻撃者はリアルタイムで被害者とやり取りすることができる。被害者がワンタイムパスコード(OTP)の入力を求められると同時に、攻撃者は自身のデバイスで同じOTPリクエストを発行する。
攻撃者はコードが期限切れになる数秒前に取得し、従来のMFA保護を完全に回避する。
これらの組織は基本的なアカウントアクセスにとどまらず、デジタルウォレットへのプロビジョニングに重点を置いている。攻撃者は取得した認証情報とOTPを使用して、攻撃者が管理するデバイスのデジタルウォレットに被害者の支払いカードを登録する。
トークン化されると、窃取されたカードは即座に高額取引やATM引き出しに悪用される。
こうした攻撃を大規模化するため、Darcula(脅威アクターUNC5814に関連)などのプラットフォームはAIやPuppeteerなどのブラウザ自動化ツールを採用している。
この技術により、スキルの低いアフィリエイトでも正規のウェブサイトを動的に複製し、フィッシングページごとに固有のHTML・CSS・JavaScriptを生成することでシグネチャベースの検出手法を回避できる。
中国語圏のPhaaS市場は現在、「ローカライゼーション・アズ・ア・サービス」モデルとして機能し、国際規模での文化的適応のためのインフラを提供している。
その典型例がYY Lai Yuプラットフォームで、119カ国にわたるフィッシングをサポートしながらも、日本の消費者エコシステムを重点的に標的としている。
400以上のカスタムテンプレートを提供するYY Lai Yuは、PayPal、Apple、Amazon、任天堂などの主要ブランドになりすましている。
これらの脅威アクターは、日本の冬季電気代補助金など地域の経済的関心事を巧みに利用した罠を作成し、自動化されたセキュリティ分析を妨害する高度なボット対策スクリーンを活用するなど、深い地域的知識を示している。
翻訳元: https://cyberpress.org/rcs-imessage-evade-defenses/
