DCloud Uni-Appテンプレートが暗号資産・モビリティ・メッセージングのフィッシング詐欺を大規模化

一見すると正当なオープンソース開発フレームワークが、世界中で数十万件にのぼる詐欺サイトの重要な基盤として悪用されています。

悪意ある攻撃者たちは、中国発のクロスプラットフォームツールキット「DCloud Uni-App」の標準化されたテンプレートを活用し、偽の暗号資産取引所・モビリティ投資詐欺・メッセージングアプリのフィッシングなど、大規模なキャンペーンを展開しています。

この共通コードフレームワークを利用することで、サイバー犯罪者は単一の高効率なコードベースから、モバイル最適化されたウェブサイトやフルデスクトップアプリケーションを素早く量産できます。

こうして構築されたインフラにより、分散した攻撃者たちが最小限の開発コストで高度な攻撃を仕掛けることが可能になっています。

Infoblox Threat Intelの調査によると、少なくとも236,493件の固有のセカンドレベルドメインの技術的基盤が、この特定の開発者ツールキットに直接紐づいていることが明らかになりました。

IntCyberDigestが報じているように、このアプリケーションフレームワークは中国本土の正規企業でも広く利用されています。しかし、フレームワークが残すデフォルトの識別可能な雛形を、詐欺師たちが迅速な展開のために悪用するケースが後を絶ちません。

ニューヨーク・タイムズはかつて、大きな注目を集めた詐欺事件を報道しました。「RainbowEx」と名乗る偽の暗号資産取引所がアルゼンチンの小さな町の人口の約20%から不正に金銭を騙し取ったというものです。

この事件が2024年末に世界的なメディアで大きく取り上げられると、同一のテンプレートを使用した新たな悪意あるドメインの展開数が急増し、月あたり約1万5,000件の新規サイトが出現するようになりました。

フレームワークの高い汎用性により、悪意ある攻撃者は最小限のコストで複数の詐欺カテゴリにまたがる欺瞞的な活動を拡大できます。

詐欺師たちは予測市場のクローンサイトを作成したり、「スキャンブリング」と通称される偽カジノプラットフォームを設計したりするほか、主要ブロックチェーンネットワークの公式資産確認フローを完璧に模倣したウォレット詐取プロンプトを作成することにも成功しています。

また、犯罪ネットワークはこれらのテンプレートをWhatsAppのフィッシング攻撃にも積極的に活用しています。

この種のキャンペーンでは、精巧に作り込まれたセキュリティヘルプセンターページに被害者を誘導し、ユーザーの認証情報を窃取して標準的な認証対策を突破することを狙っています。

さらに最近では、「Yuechi Sharing Technology」という社名で活動する自転車シェアリング投資詐欺が、複数の欧米諸国で被害者を狙い続けています。

この詐欺が特に危険なのは、米国財務犯罪取締ネットワーク(FinCEN)の資金サービス事業者登録証など実在する政府書類を巧みに利用し、厳格な規制に準拠しているかのような偽りの信頼感を演出している点にあります。

ターゲットとなった利用者が入出金でトラブルに遭遇すると、自動化されたカスタマーサービスが彼らをプラットフォーム外のブランド化されたチャットへとシームレスに誘導します。

この高度に組織化されたコミュニケーションパターンは、相互に連結した大量の詐欺ドメインを一元的に管理する、資金力のある中央集権的な運営者の存在を強く示唆していると、Infobloxは指摘しています

注意: IPアドレスおよびドメインは、誤って名前解決やリンクへのアクセスが発生しないよう、意図的に無害化処理(例:[.])が施されています。再有効化はMISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム上でのみ行ってください。

翻訳元: https://cyberpress.org/dcloud-templates-scale-phishing/

ソース: cyberpress.org