サイバー犯罪者がLinkedInフィッシングキャンペーンにおいてAdobeのインフラを悪用し、パスワードを窃取した後、被害者を正規のLinkedInサイトにリダイレクトしています。
このフィッシングメールはLinkedIn経由で届いたように見せかけたビジネス問い合わせを装い、偽の「契約書」添付ファイルを含んでいます。しかし、いくつかの危険なサインが含まれています:
- 送信者名、メールアドレス、メール署名が一致していない
- 送信者の会社は実在するが、米国ではない
- 送信者名は実在するが、その会社には在籍していない
- 添付ファイルに二重拡張子が使われている:
pdf.html
「LinkedInを通じてお取引させていただきたいと思います。私は購入者です。
署名済み契約書 No. #33110:12000個 を添付にてお送りいたします。
ご連絡をお待ちしております。」
詐欺か本物か?Scam Guardが見分けます。
二重拡張子は、ファイルの本来の種類を隠すために受信者を誤解させる目的でよく使用されます。添付されたHTMLファイルは高度に難読化されており、基本的には1行のJavaScriptです。
このスクリプトは2つの一般的な難読化手法を使用しています:URLエンコードとBase64です。スクリプトはBase64エンコードされた2つのセクションに分割されています。
添付ファイルを開くと、シンプルなログインフォームが表示されます。
ターゲットのメールアドレスはハードコードされており、変更や削除ができません。一部の研究者が受信チャネルに偽の認証情報を大量送信することをためらわないためと思われます。
しかし、受信チャネルの特定が興味深い部分です。ネットワーク分析により以下のURLが明らかになりました:
https://lnkd.tt.omtrdc.net/rest/v1/delivery
このドメインはAdobeに属しており、Adobe TargetのA/Bテストプラットフォームに関連しています。しかし、このキャンペーンはAdobe Targetをフィッシングした認証情報の受信に使用しているわけではありません。代わりに、攻撃者はAdobe Targetをフィッシングフローにおけるリダイレクト・悪用ポイントとして悪用しています。フィッシングメールに引っかかった被害者を追跡するためと考えられます。
最終的に、ターゲットが抱く可能性のある不審感を払拭するため、正規のbusiness.linkedin.comサイトにリダイレクトされます。
スクリプトを難読化解除した後、送信された認証情報の送り先が判明しました:
難読化のレベルにかかわらず、手法は非常に粗雑でシンプルです:
POST先:http://a1263367.xsph.ru/taam/Ln.php
送信データ:
- AA = ハードコードされたメールアドレス
- BB = ユーザーが入力したパスワード
.ruドメインにホストされたPHPファイルがLinkedInへのリダイレクトを処理し、被害者がログインに成功したと思い込ませます。
安全を守るために
良いニュースは、何を見るべきかさえ分かれば、こうした攻撃はずっと見分けやすくなるということです。悪いニュースは、コストが低く、スケーラブルで、今後も横行し続ける可能性が高いということです。
次に「PDF」がブラウザでパスワードを求めてきたら、その裏に何が潜んでいるか立ち止まって考えてみてください。
不審な添付ファイルを開かないことに加え、安全を守るためのいくつかの方法を紹介します:
- アカウントへのアクセスは、公式アプリか、ブラウザに公式サイトのURLを直接入力する方法のみを使用してください。
- ファイルの拡張子を注意深く確認してください。PDFに見えても、そうでない場合があります。
- 重要なアカウントには多要素認証を有効にしてください。
- Webプロテクションモジュールを備えた最新のリアルタイムマルウェア対策ソリューションを使用してください。
プロのヒント:Malwarebytes Scam Guardはこのメールを詐欺として検出しました。
詐欺師はあなたをハックする必要はありません。ただ一度クリックさせればいいのです。
Malwarebytes個人情報盗難保護は、問題になる前に不審な活動を検知します。
