フィッシングキットが「BEC-as-a-Service」化、まるでビジネスメール詐欺の専門プラットフォーム

フィッシングキャンペーンを展開するためのツールキットは、サイバー犯罪者にとって今や定番の道具となっていますが、研究者らは最近、まさに「BEC(ビジネスメール詐欺)-as-a-Service」と呼べるような本格的なプラットフォームの詳細を発見しました。

Cisco Talosは水曜日、ARTokenと名付けられたオペレーターパネルを発見したと発表しました。このパネルは、多要素認証を回避してMicrosoft 365アカウントを侵害するために構築されたフィッシング-as-a-サービス「EvilTokens」と、インフラや他の要素を共有しており、その関連組織(アフィリエイト)として機能しています。EvilTokensは、人工知能の統合による後押しもあり、今年初めのフィッシング攻撃件数が前年同期比で1,380%という大幅な増加を見せたと報告されています。

ただしARTokenが注目される理由は、SekoiaMicrosoftといった企業がこれまでに公表してきたEvilTokensの機能を上回る能力を備えている点にあります。具体的には、受信トレイのルール操作や共有アクセスリンクなどの機能が含まれます。

Cisco TalosのセキュリティリサーチエンジニアであるMichael Kelley氏はブログ投稿の中で、不正な支払いを引き出すために偽の電子メールを送信するビジネスメール詐欺(BEC)詐欺に言及し、「これらの機能は、このプラットフォームが単純なデバイスコードフィッシングキットよりも成熟していることを示しています。つまり、完全なBECオペレーション環境なのです」と記しています。

Kelley氏はCyberScoopに対し、「この能力に触れるいくつかのサービスをこれまでにも見てきましたが、これは以前の事例よりも明らかに作り込まれ、洗練されているように見えます」と述べました。

投稿によれば、ARTokenは7層に及ぶ解析回避システムを備えており、その回避能力の高さでも注目に値します。

今回の調査では、ARTokenの実際のフィッシングの誘い文句(ルアー)が実践においてどのようなものかについて、さらに詳しい情報が明らかになっています。同社が調査したあるルアーが示す通り、それらは無差別にばらまかれるものではなく、標的を絞ったものでした。

Kelley氏は次のように記しています。「このメッセージは、ウィスコンシン州の実在する請負業者の買掛金担当者になりすまし、米国のライフサイエンス企業の買掛金担当の受信者宛に送信されています。送信者を捏造するのではなく、実在する取引先との関係を悪用しているのです。ルアーのテーマは未払い請求書に関する問い合わせ(『以下の請求書がまだ未払いのようです……いつ処理されるかご連絡ください』)であり、買掛金担当者が対応するよう習慣づけられているタイプのメッセージです」

Kelley氏はCyberScoopに対し、Cisco Talosとしてはこの活動の広がりや、この能力を誰が利用しているのかについて、まだ全容を把握できていないと語りました。

「公共部門が標的にされている事例は確認していますが、それだけにとどまる可能性は低いでしょう」と同氏は述べています。

翻訳元: https://cyberscoop.com/artoken-bec-platform-cisco-talos/

ソース: cyberscoop.com