脅威アクターが、フィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「SniperDz」を悪用し、信頼性の高いブランドや公人、政治家になりすます攻撃を展開しています。
最近では中東・北アフリカ(MENA)地域のユーザーを標的にしたキャンペーンが確認されており、被害者を偽の特典オファーへ誘導する手口が使われています。無料インターネットや金銭的支援を受け取れると信じてクリックした被害者は、巨大な詐欺エコシステムへと引き込まれてしまいます。
SniperDz はサイバー犯罪者向けのターンキー型オペレーションとして機能しています。このプラットフォームは、PayPal・Netflix・Steam・地域の通信キャリアなど30以上のグローバルブランドを模倣した、80種類ものフィッシングテンプレートを豊富に備えています。
これらの既製テンプレートを使うことで、攻撃者はほとんど技術的なスキルを必要とせず、説得力のある資格情報窃取キャンペーンを即座に展開できます。ただし、Group-IB の最新分析によると、パスワード窃取はより広範な収益化エンジンの一部にすぎないことが明らかになっています。
自動セキュリティスキャナーやウェブクローラーの検知を回避するため、SniperDz は積極的なトラフィッククローキングを採用しています。セキュリティツールがキャンペーンのリンクを検査すると、プラットフォームは悪意あるコンテンツを意図的に隠蔽し、無害なエラーページを表示します。
これにより、背後のインフラが検知されることなく維持され、実際の被害者は気づかないままに攻撃者の罠へと誘導される仕組みになっています。
攻撃はローカライズされたソーシャルメディア広告から始まります。FacebookやInstagramなどのプラットフォームのセキュリティフィルターを回避するために、攻撃者は悪意あるウェブサイトへ直接リンクするのではなく、別の手段を用います。
具体的には、Linktree や Linkbio といった正規のリンクアグリゲーションサービスの信頼性を悪用する手口を取ります。
詐欺師のソーシャルメディアプロフィール上のリンクをユーザーがクリックすると、信頼性の高いドメインにホストされた囮ページへ誘導されます。これにより、自動防御機能による検知が困難になっています。
被害者が囮のオファーをクリックすると、信頼されたサービスの外へと誘導され、攻撃者のコアインフラへと流入します。そこでは、攻撃者が積極的なブラウザーハイジャック手法を駆使しています。
被害者には偽のローディング画面が表示され、本人確認のために「許可」をクリックするよう誘導されます。
被害者のプロフィールによっては、プレミアム料金の電話詐欺へリダイレクトされることもあります。偽の賞品を受け取るために特定の電話番号に電話するよう騙され、通話料金として多額の請求が発生するという手口です。
また、巧みなクイズ形式を使って、ユーザーを無断で有料SMSサービスの定期購読に登録させる手口も確認されています。
Group-IB のアナリストは、重要な侵害指標(IoC)を抽出することで、この広大なオペレーションの全体像を解明することに成功しました。それは、複数のキャンペーンにわたって繰り返し使用されたVAPID(Voluntary Application Server Identification)公開鍵です。
この特定の鍵がプッシュ通知の登録に共通して使われていたことから、研究者たちは一見無関係に見える複数の詐欺を、SniperDz の集中管理されたエコシステムへと結びつけることができました。
この共有インフラのフィンガープリントを起点とした調査により、当該オペレーションは相互に連携したIPアドレス群と900件以上の不審なドメインに紐付けられています。
注意: IPアドレスおよびドメインは、意図しない名前解決やハイパーリンク化を防ぐため、意図的に無害化処理(例:[.])が施されています。再有効化は、MISP・VirusTotal・SIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/sniperdz-powers-brand-impersonation/
