巧妙化するフィッシング詐欺、被害者のデバイス・OSに自動で最適化

脅威アクターたちは、無差別に大量送信する従来型のフィッシング攻撃から離れ、標的のデバイスやオペレーティングシステムに合わせて自動的に内容を変化させるキャンペーンへと移行しつつあります。

アンチフィッシングセキュリティベンダーのCofenseは本日、脅威アクターがフィッシング手口を高度化させている最新の手法をまとめた調査結果を発表しました。この調査レポートの執筆者であるCofense IntelligenceのMax Gannon氏によれば、従来型のフィッシング攻撃は、拙く単純なメールと、セキュアメールゲートウェイを回避できる程度の単純な感染チェーンを持つ添付ファイルによるものが大半でした。しかし近年の多くのキャンペーンでは、標的に合わせて作り込まれたメールが使われるようになっています。標的に関連性の高い複雑なシナリオ(例えば、ビジネスマネージャー宛に請求書を送りつけるといった手口)や、より複雑な感染チェーンが用いられているのです。

さらに最近では、被害者がリンクや添付ファイルをクリックした後の段階で、より一層標的を絞り込むフィッシングキャンペーンの事例をCofenseは確認しています。この段階になると、添付ファイルやランディングページは、ブラウザが送信するユーザーエージェント情報を収集します。ユーザーエージェントデータとは、Webページが読み込まれる際にWebブラウザやアプリケーションが送信するテキストデータの文字列です。攻撃者はこのデータを通じて、被害者のメールアドレス、ブラウザ情報、デバイス情報、言語、被害者のローカル時刻、画面・ウィンドウサイズ、位置情報といったデータをフィンガープリンティングし収集できます。

「検出手法として近年増えているのが、Cloudflareのユーザーエージェントブロッキングの利用です。これにより、被害者が悪意あるページに実際にアクセスする前の段階で、ブラウザから推測されるオペレーティングシステムに基づいてトラフィックをリダイレクトできます」とこの調査レポートは述べています。「これにより脅威アクターは、自前の検出回避スクリプトを組み込むことなく、標的に合わせたペイロードを配信できるようになります」

被害者ごとに最適なフィッシングペイロードを配信

このデータは、標的ごとに適切なマルウェアを配信するために利用されることが多くなっています。Cofenseが挙げた一例では、あるフィッシングランディングページが、フィンガープリンティングによって検出した情報に応じて、macOS向けにはFleetDeckを、Windows向けにはTiflux RATを配信していました。Cofenseがマルチプラットフォーム型キャンペーンで観測したマルウェアの多くは、「本来は正規のリモートアクセスツール(RAT)を、リモートアクセス型トロイの木馬(こちらもRATと略される)として転用したもの」でした。これは自動化された防御機構による検出がはるかに困難だからです。

さらに、「脅威アクターはTelegramのようなツールを使って情報を持ち出し保存するケースが、次第に増えてきています」とGannon氏は記しています。

複数のキャンペーンで、プラットフォームを認識した戦術が確認されているほか、欺瞞の手口についても同様の戦術が用いられています。フィッシングランディングページは、被害者のブラウザから取得したテレメトリ情報に基づき、Google、Docusign、Microsoft Teams、Adobe、Zoomのダウンロード画面を模倣するかどうかを判断します。

フィッシング攻撃者たちがここ数年で手口を大きく高度化させてきたことは、驚くには当たりません。大規模言語モデル(LLM)の登場により、世界中の攻撃者があっという間に完璧な英語のフィッシングメールを生成できるようになりました。フィッシングキットは、本来なら実行できないはずの高度な攻撃を、技量の低い攻撃者にも可能にしてしまいました。そしてClickFixのような新たな手口の登場により、ソーシャルエンジニアリング攻撃は一段と巧妙さを増し続けています。

こうした新しいプラットフォーム認識型の手法が生まれた理由は単純です。攻撃者にとって経済合理性が高まるからです。

「被害者のデバイスを識別し、その環境に最も効果的なペイロードを配信できるキャンペーンを構築することで、脅威アクターはより多くの標的にリーチでき、侵害の成功率を高め、一回一回のやり取りからより有用な情報を引き出せるようになります」とGannon氏は記しています。「被害者がmacOSやAndroidなど非対応のプラットフォームを使っていたためにトラフィックを取りこぼす、といった事態を避けられます。脅威アクターは、クリックスルーによる認証情報窃取や、環境に合わせてカスタマイズしたリモートアクセスツールによって、それでも収益化できてしまうのです。実際のところ、これは同一の誘導文言・インフラ・キャンペーン労力から、より大きな利益、より広範な標的カバー率、より高い投資対効果を得られることを意味します」

結局は「よくあるフィッシングキャンペーン」の一種

Cofenseが説明しているこれらのキャンペーンは、標準的なフィッシングキャンペーンに、メール受信者が悪意あるリンクをクリックした後の段階でいくつか巧妙な仕掛けを追加したものにすぎません。

他の多くのフィッシングキャンペーンと同様、ここでもベストプラクティスは有効に機能します。FIDO2キーのようなフィッシング耐性の高い認証方式は概して健全な選択肢であり、脅威アクターが用いる最新のフィッシング・ソーシャルエンジニアリング手口について従業員に教育することも同様です。また、こうした攻撃が従業員の受信箱に届く前に防ぐことを目的としたセキュリティ製品も、幅広く存在しています。

Gannon氏はDark Readingに対し、セキュリティ責任者にとって最も重要なメッセージは、Windows、Mac、モバイルにまたがる監視を統合し、クロスプラットフォームの可視性ギャップを解消することだと語っています。そうすることで、一連の活動を単一のキャンペーンとして適切に捉えられるようになるのです。

また同氏は、「最初のメールをブロックすることだけに頼るのではなく、クリック後に何が起きるか、つまりリダイレクトチェーンやデバイスごとの配信ロジックへの可視性を構築する」ことも推奨しています。さらに、フィッシングを食い止めるうえで最も貴重なリソースの一つは、自社の従業員そのものです。

同氏は次のように述べています。「組織は従業員を、最後の防衛線としてではなく、第一のセンサーとして扱うべきです。脅威アクターは、ConnectWise RATのような信頼されたリモートアクセスツールを転用するケースが増えており、シグネチャベースの防御ではまず検知できません。予期しないツールがおかしな場所で動いていることに気づけるのは、通常、自動化されたスキャナーではなく、訓練を受けた従業員なのです」

翻訳元: https://www.darkreading.com/application-security/phishing-campaigns-auto-adapt-victims-device-os

ソース: darkreading.com