Microsoft 365ログインを狙う新たなBitBフィッシング攻撃

新たなBrowser-in-the-Browser(BitB)フィッシングキャンペーンが確認されており、偽のOAuthログインウィンドウを悪用してMicrosoft 365の認証情報を窃取しようとしています。その完成度は高く、一見しただけでは見抜けないほどです。

この攻撃では、ドラッグ可能なポップアップを使って本物のブラウザダイアログに見せかけています。しかし実際にはページ自体に埋め込まれたものであり、なりすましのMicrosoft OAuthのURLと組み合わせることで、ログインフロー全体を正規のものに見せかけています。

研究者たちは、BitBをフィッシング手法の一つとして説明しています。本物のブラウザウィンドウを開くのではなく、一般的なウェブ技術を使ってウェブページ内に偽のサインインウィンドウを表示する手法です。

このキャンペーンのポップアップは見た目だけのものではありません。被害者のオペレーティングシステムやブラウザのフィンガープリントに合わせて調整されており、デバイス固有のものであるかのような自然な見た目を実現しています。ウィンドウはまるでブラウザに属しているかのように見えますが、実際には攻撃者のページの一部です。

このキャンペーンには、より成熟したフィッシング操作を示す分析妨害機能も組み込まれています。

デバッグの試みをブロックし、検出を回避するためにコード内のキーワードを断片化し、悪意あるコンテンツへ自動ボットがアクセスしないようリダイレクトすることもできます。これらの防御手法により、スキャナーやサンドボックスシステム、研究者による検知を巧みに回避しています。

このフィッシング手法が効果的なのは、馴染みのあるOAuthフローとMicrosoftのブランドに対するユーザーの信頼を悪用しているからです。

Unit42によると、多くのユーザーはすでにMicrosoft 365、Google、その他のIDプロバイダーのポップアップ形式のサインインに慣れているため、リアルな見た目のウィンドウが本能的な警戒心をすり抜けてしまうのです。

被害者がパスワードを入力した瞬間、攻撃者はすぐにその認証情報を取得できます。

新たなBitBフィッシング攻撃の詳細

さらに大きなリスクは、この偽ウィンドウがセッションデータを収集し、リアルタイムでMFAに関する脆弱な前提を回避できる点です。

Microsoftは不審なメッセージの報告や組み込みのフィッシング対策機能の利用を引き続き推奨していますが、BitBは視覚的な信頼だけでは不十分であることを示しています。この攻撃は人間の判断力とセキュリティツールの両方を同時に標的にしています。

この攻撃は、Microsoft、Facebook、その他の主要サービスを標的としたブラウザベースのIDフィッシングという大きな潮流の一部です。最近の報告では、攻撃者が正規のMicrosoft関連サインインフローやフェデレーションコンポーネントを悪用し、被害者を認証情報窃取のチェーンへと誘導するケースも確認されています。

パターンは一貫しています。攻撃者は粗雑な偽ページから離れ、本物と見分けがつかないほど精巧なログイン体験の再現へとシフトしているのです。

最も重要な防御策は、フィッシング耐性のある認証方式への移行、特にパスキーやWebAuthnベースのサインイン方式の採用です。

従来のMFAも依然として有効ですが、ログイン体験をリアルタイムでプロキシしたりシミュレートしたりする攻撃には完全には対応できません。

Microsoft 365を利用する組織は、ユーザートレーニングと条件付きアクセス、ドメイン検証チェック、積極的な報告ワークフローを組み合わせて運用することが求められます。

実践的な確認方法として、ログインポップアップをブラウザウィンドウの外にドラッグできるか、または本物のシステムダイアログのように動作するかを試してみてください。

ページ内で固定されたまま動かない、パスワードマネージャーが起動しない、または不審なURLの下に表示されるといった場合は、悪意あるものとして扱うべきです。

また、ユーザーは埋め込まれたログインリンクをクリックするのではなく、アドレスを直接入力してMicrosoft 365にサインインするよう心がけてください。

添付の画像は、この攻撃の核心的な偽装を明確に示しています。なりすましのOAuth認可バー、Microsoftのサインインパネル、そして正当性を演出するための偽のブラウザフレームの3点セットです。

要するに、これは単純なフィッシングページではありません。ブラウザへの親しみとユーザーの習慣を巧みに武器化した、高精度の認証情報窃取キャンペーンです。

翻訳元: https://gbhackers.com/new-bitb-phishing-attack/

ソース: gbhackers.com