2025年後半から、SMSのなりすまし対策の脆弱性を悪用した大規模なスミッシング・フィッシング活動が活発化しており、モバイルユーザーを標的にしています。活動範囲は72か国に及ぶものの、キャンペーンはラテンアメリカ(LATAM)に集中しています。
攻撃者はさまざまな業界にわたる260以上のブランドへのなりすましに成功しており、個人情報やクレジットカードの全情報を詐取するために数千もの悪意あるドメインを生成しています。
Group-IBの研究者は、この脅威アクターに関連する4,389件のフィッシングドメインを特定しました。メキシコだけで1,851件のドメインが確認されており、チリやコロンビアもLATAM地域における主要な標的となっています。
最も被害を受けているのは通信業界で、1,754件のドメインが確認されています。金融サービスや消費者向けポイントプログラムがそれに続く標的となっています。
攻撃者は、ポイントの失効、未受け取りの報酬、配送待ちの荷物など、緊急性を煽る口実を利用しています。こうした巧妙な誘い文句は、モバイル中心のユーザー層において高いクリック率を誘発する非常に効果的な手口です。
このキャンペーンで最も注目すべき特徴は、多層構造の解析妨害アーキテクチャです。攻撃者は本物そっくりの偽Cloudflareエラーページ、具体的には「Error 524」(ゲートウェイタイムアウト)画面をおとりとして使用しています。
セキュリティスキャナー、自動ボット、非モバイルのユーザーエージェント、または対象地域外のIPアドレスからフィッシングリンクへのアクセスが試みられた場合、悪意あるサイトではなく、この無害に見えるエラーページが表示されます。
この手法により、自動セキュリティスキャンを事実上無力化しています。二層構造の条件付きレンダリングにより、ホスティングプロバイダーに対する言い逃れの余地を確保しつつ、脅威ハンターから悪意あるペイロードを巧みに隠蔽しています。
実際の認証情報窃取コンテンツが表示されるのは、厳格なジオフェンシングとモバイルデバイスのフィンガープリンティングチェックを通過した被害者のみです。
これらのフィルタリング基準は、外部APIへのクライアントサイドIPジオロケーションクエリを使用し、ページ読み込み時に適用されます。被害者の国コード、通貨、言語がキャンペーンのパラメータと完全に一致した場合にのみ、悪意あるインターフェースへと進むことができます。
Group-IBの調査によると、インフラ分析の結果、脅威オペレーターは真のホスティングIPアドレスを隠蔽するためにCloudflareをリバースプロキシとして利用し、セッションテレメトリの目的で正規のリアルユーザーモニタリング(RUM)エンドポイントを乗っ取っていることが明らかになっています。
さらに、WebSocketトラフィックはハートビートpingを使用してリアルタイムチャネルを維持し、セッション滞在時間を記録しています。
オリジンサーバーの約30%はTencent CloudおよびAlibaba(米国)にホスティングされており、競争力のある価格設定、迅速なプロビジョニング、そしてIPブロッキングへの対抗力を活かした構成となっています。
セキュリティアナリストや脅威インテリジェンスチームは、.ink、.top、.bondといった低コストのトップレベルドメインにおける短いブランド模倣ドメインの登録を監視することが推奨されます。サイバー犯罪シンジケートは、標準的なテイクダウン活動を出し抜くため、これらのドメインを素早く切り替えています。
翻訳元: https://cyberpress.org/error-524-phishing-decoys/
