長年にわたるフィッシング攻撃が、独自のサーバーインフラを一切持たず、信頼されたクラウドプラットフォームの内側に潜みながら、メキシコの金融機関の顧客から銀行認証情報を盗み続けています。
Group-IBが公開した新たな分析レポートでは、同社が「GitBait」と命名したこの攻撃キャンペーンの詳細が明らかになっています。約3年間にわたり、メキシコの少なくとも12の金融機関への攻撃に関与していたとされています。
GitBaitは専用のバックエンドを持たず、偽の銀行ページをGitHub Pagesでホスティングし、盗んだログイン情報をSheetBestというサービスを通じてGoogleスプレッドシートに直接書き込む仕組みを採用していました。これにより、当局に押収される可能性のあるインフラをほとんど残さない構造になっています。
Group-IBは、この攻撃キャンペーンに関連するGitHubホスト型ドメインを100件以上確認しており、それぞれが複数のフィッシングページを提供していたとしています。これらすべてはGitHubに報告済みです。
大規模フィッシングキットの詳細記事:Quantum Route Redirectフィッシングキットがサイバー攻撃を大衆化
サーバーレス攻撃の実態
この攻撃の中核となっているのはモジュール型のフィッシングキットです。デスクトップおよびモバイル対応のオペレーターパネルを備えており、攻撃者はターゲットとなる銀行を選択し、それに合わせた偽ページを生成できます。
各GitHubリポジトリには複製されたページが保存されており、削除されたページでも迅速に再展開できる仕組みになっています。
被害者はまず銀行のブランドを模倣したページに誘導され、ユーザー名・顧客ID・パスワード・カード情報を入力するフォームが表示されます。入力されたデータはスクリプトによって取得され、SheetBestに送信されます。その後、ユーザーの信頼を維持するために偽の確認画面が表示される仕組みです。
Group-IBは被害者の誘導方法を特定できていませんが、証拠はダイレクトメッセージを介した手口を示唆しています。フィッシングページには巧みに作成されたOpen Graphタグが仕込まれており、WhatsApp・Telegram・SMSでリンクを共有した際に、銀行ブランドを模倣した説得力のあるプレビューカードが表示されます。一方、noindexタグにより検索結果には表示されないようになっています。
あるリポジトリのコミット記録からは、継続的にメンテナンスされていた攻撃の実態が明らかになっています。
-
66件のコミット(継続的な開発を示すもの)
-
3つのコントリビューターアカウント(一部はメールアドレスを共有)
-
JekyllとGitHub Actionsを使った自動公開
-
分析時点でも活動中だったオペレーターアカウントによるエンドポイントのローテーション
また、各ページはランダム化されたパスから難読化されたJavaScriptを読み込む仕組みになっており、オペレーターはページを変更せずにペイロードを入れ替えることができ、静的解析による検出を困難にしています。
ブロックリストを超えた脅威
Group-IBはGitBaitを、サイバー犯罪者が独自マルウェアや自前サーバーではなく一般的なクラウドサービスや既製キットに頼るようになった大きな潮流の一部と位置付けています。これは近年見られるPhishing-as-a-Serviceプラットフォームの台頭と軌を一にするものです。
この攻撃は信頼されたドメインを悪用していたため、既知の悪意あるサイトのブロックリストでは十分な防御にならないとGroup-IBは警告しています。
そのうえで同社は、銀行に対してGitHub上のブランド悪用を監視し、SheetBestなどのサービスへの予期しないトラフィックを検知するよう促しています。また、行動検知・多要素認証(MFA)・取引アラートを積極的に活用することを推奨しています。
翻訳元: https://www.infosecurity-magazine.com/news/gitbait-github-pages-sheetbest/
