中東および北アフリカ全域で相次ぐフィッシングキャンペーンにより、「SniperDz」の名のもとで運営される高度かつ一元化された詐欺エコシステムの実態が明らかになっています。
当初は孤立した事案に見えたFacebookやInstagramの詐欺――無料モバイルデータや政府補助金、補償金を装った偽の勧誘――は、大規模ななりすまし、認証情報窃取、トラフィック収益化を効率化するターンキー型の「Push-Notification-as-a-Service(PNaaS)」およびPhishing-as-a-Service(PhaaS)アフィリエイトプラットフォームに結びついていることが判明しました。
調査担当者は、政治家や通信事業者、信頼性の高いブランドを装った数十件の不正ソーシャルアカウントを追跡しました。
これらのアカウントは被害者を、LinktreeやLinkbioといったリンク集約サービスへと誘導しており、これらのサービスは信頼性を高める中間バッファとして機能していました。
こうしたダミーページから、ユーザーは多段階のリダイレクトチェーンを経てSniperDzが管理するインフラへと誘導されます。
プラットフォームのライブラリには、PayPal、Facebook、Instagram、Netflix、Steamおよび主要通信事業者など30以上のグローバルブランドを模倣した約80種類のフィッシングテンプレートが用意されており、技術力の低いオペレーターでも説得力のある囮ページを素早く展開できるようになっています。
Group-IBのアナリストは、政治家や公人、信頼性の高い組織を装った複数の不正Facebookアカウントを特定しました。
SniperDzのエコシステムは認証情報の窃取にとどまらず、複数の手段でトラフィックを収益化しています。ファネルの最終段階では、キャンペーン全体で共通のVAPID公開鍵を使用してブラウザの通知許可を頻繁に要求します。
許可が得られると、プッシュ通知のサブスクリプションを通じて、迷惑な宣伝や詐欺、アフィリエイトオファーを被害者に継続的に送り付けることが可能になります。
SniperDz PhaaSを悪用したハッカーの手口
Group-IBが繰り返し確認したVAPIDキーは、インフラのフィンガープリントとして機能しており、一見無関係に見えるキャンペーン同士を同一の通知バックエンドに結びつけ、悪意ある活動のクラスタリングを可能にしています。
信頼を獲得するため、詐欺師たちはAlgérie Télécomなどの有名通信事業者になりすまし、無料モバイルデータやインターネットパッケージ、その他の特典を約束する偽のオファーを宣伝しています。
ユーザーを引き留めて悪用するために使用される技術的手法は、その隠蔽性と持続性において際立っています。クローキングロジックは、クローラーや研究者を検知すると悪意あるコンテンツを抑制し、代わりに無害なエラーページを返します。
ランディングページにはブラウザの閲覧履歴を操作して偽のエントリを挿入するコードが組み込まれており、「バックボタン罠」とも呼べる状況を作り出しています。タブアンダースクリプトや遅延リダイレクトにより、被害者がページを離れようとしても詐欺のフロー内に引き留められます。
こうした手法を組み合わせることで、プレミアム通話、プレミアムSMSサブスクリプション、投資詐欺、アフィリエイト報酬のコンバージョン率を最大化しています。
収益化は動的に最適化されており、トラフィック分配エンジンがデバイスの種類、位置情報、携帯キャリアを評価したうえで、キャリア課金によるプレミアム通話、定期SMSサブスクリプション、後続詐欺へのリード獲得フォームなど、最も高い収益が見込めるオファーへとユーザーをルーティングします。
Group-IBは、相互に関連したドメインとホスティングリソースのクラスターを特定しました。同一のホスティングプロバイダーに紐づくIPアドレスを共有する疑わしいドメインは900件以上にのぼり(例:65.60.9[.]236、108.178.23[.]118、184.154.10[.]254)、一元化されたプラットフォームの存在を裏付けています。
このキャンペーンは、信頼性の高いサービスを隠蔽層として悪用するという巧みな手口も用いています。ユーザーを正規のリンク集約ページ経由でルーティングすることで、ソーシャルプラットフォームによる自動検知の可能性を低下させ、フィードやスポンサーコンテンツを通じたリーチを拡大しています。
ローカライズされたソーシャルエンジニアリングにより信頼性をさらに高めており、複数のページはアラビア語でハードコードされ、MENA地域のユーザーからの信頼を最大化するために地域の通信事業者のブランドを模倣していました。
防御担当者は、公開されたインジケーターと繰り返し確認されるVAPIDキーを活用することで、関連する活動をクラスタリングし、テイクダウンの優先順位付けを行うことができます。
Group-IBのThreat Intelligence Portalには、SniperDzの脅威アクタープロフィールと関連ドメインが記録されており、顧客はより詳細なテレメトリーとインジケーターにアクセスできます。
ユーザーへの対処手順としては、ブラウザのサイト設定から不審な通知許可を取り消すこと、そしてなりすましのソーシャルアカウントを報告することが挙げられます。
今回の調査は、SniperDzのようなPhishing-as-a-Serviceプラットフォームが、ブラウザ機能や信頼されたサービスを武器化して検知を回避し収益を拡大する、フルスタックのトラフィックブローカーエコシステムへと進化していることを浮き彫りにしています。
こうした活動を効果的に阻止するには、ホスティングインフラの協調的なテイクダウン、特定されたVAPIDエンドポイントのブロック、そしてリンク集約サービスの悪用に対する継続的なプラットフォーム監視が不可欠です。これらの対策によって、詐欺グループが利用するファネルを断ち切ることが可能になります。
翻訳元: https://gbhackers.com/hackers-exploit-sniperdz-phaas/
