GitHubは数百万人の開発者から信頼されるプラットフォームですが、金銭的動機を持つ脅威アクターによるインフラの悪用が急増しています。
高度な新たなキャンペーンが発覚し、研究者たちはメキシコの少なくとも12の金融機関を標的とした大規模なフィッシング作戦を明らかにしました。
約3年にわたって活動しているこのキャンペーンは、完全なサーバーレスアーキテクチャが際立っています。攻撃者たちはホスティングにGitHub Pagesを悪用し、リアルタイムの認証情報流出にはSheetBest APIを利用しています。
専用のバックエンドサーバーを不要とすることで、脅威アクターたちは検出・解体が極めて困難なインフラを構築しています。
この作戦はモジュール型フィッシングキットを活用しており、オペレーターは単一の内部パネルから金融機関ごとのフィッシングページを動的に生成することができます。
100を超えるドメインが確認されており、このキャンペーンは複数の独立したGitHubリポジトリに分散してホスティングすることで、迅速な展開・冗長性・削除要求への耐性を確保しています。
この作戦の中核は、正規の銀行認証フローを巧みに模倣した多段階の認証情報窃取フローにあります。
被害者がクローンされたフィッシングページに誘導されると、顧客ID・パスワード・支払いカード情報などの機密データの入力を求められます。
このフィッシングキットは、窃取したデータを攻撃者が管理するサーバーに送信するのではなく、クライアントサイドのJavaScriptを利用してブラウザから直接フォームの送信内容を傍受します。
悪意あるスクリプトはブラウザのデフォルト動作を無効化し、窃取した認証情報をPOSTリクエストで直接SheetBest APIへ送信します。
このサードパーティサービスはシームレスな橋渡し役として機能し、窃取したデータを即座に整形して攻撃者が管理するGoogle Sheetsに書き込みます。
この集中型バックエンドモデルにより、複数のフィッシングテンプレートから同一のデータ収集ポイントへ情報を集約することが可能になっています。
最初の配信経路は特定されていませんが、技術的な証拠はメッセージングアプリとSMSを強く示唆しています。
リポジトリの主要ランディングページには、精巧に作り込まれたOpen Graphメタデータが含まれています。
Group-IBによると、この設定により、不正なリンクがWhatsApp・Telegram・iMessageなどのプラットフォームで共有された際に、ブランド名とロゴを表示するリッチで説得力の高いプレビューカードが生成されます。
インフラをさらに保護するため、攻撃者はモジュール型パス構造と高度な難読化を採用しています。被害者はまず「/cancelacion」や「/soporte」といった誘導パスを経由した後、最終的な認証情報窃取エンドポイントへ誘導されます。
さらに、フィッシングページは悪意ある処理ロジックをHTMLに直接埋め込むのではなく、ランダム化されたパスを通じて外部JavaScriptを読み込みます。
この手法によりペイロードが巧みに隠蔽され、セキュリティツールによる静的解析が困難になるほか、オペレーターはコードを即座にローテーションすることができます。
金融セクターにとって、このキャンペーンは従来の防御策が通用しなくなりつつある、脅威環境の危険な変化を如実に示しています。
攻撃者はもはや大規模な認証情報窃取を実行するにあたり、複雑なマルウェアや専用のC&Cサーバーを必要としなくなっています。
注記: IPアドレスとドメインは、誤った名前解決やハイパーリンクの生成を防ぐため、意図的にdefang処理(例:[.])が施されています。MISP・VirusTotal・SIEMなど、管理された脅威インテリジェンスプラットフォーム上でのみrefang処理を行ってください。
翻訳元: https://cyberpress.org/sheetbest-exfiltrates-banking-credentials/