このフィッシングキャンペーンは、Googleの採用チームになりすまして偽の「通話予約」招待を送り、偽装ログインやHTMLのトリックを使って被害者のGoogleアカウント認証情報を盗み取ります。
詐欺師たちは、Googleの「キャリア」部門からの連絡を装い、ターゲットに認証情報を渡させる手口を始めています。
Sublime Securityの調査によると、攻撃者はGoogleの採用チームから送られてきたように見えるメッセージを送り、「お話しすることは可能ですか?」と尋ね、被害者を偽の予約プロセスに誘導し、最終的に偽装されたログインページに誘い込みます。
この詐欺は求職者の注意を利用し、巧妙な回避策でメール防御をすり抜け、人為的なミスに依存しているとSublimeの研究者はブログ記事で指摘しています。この攻撃の最終目的は、Googleアカウントの認証情報を収集し、被害者のメール、ファイル、クラウドデータへの完全なアクセスを得ることです。
巧妙な偽装と動的な回避策
Sublimeの分析によると、攻撃はGoogleキャリアを装ったメッセージから始まり、複数の言語(英語、スペイン語、スウェーデン語など)で送信され、採用サービスを模倣したさまざまな送信者アドレスが使われていました。トリックは「通話予約」リンクで続き、Googleのスケジューラーのように見せかけたランディングページに誘導し、そこから標準的な偽のGoogleログインページに進みます。
攻撃者は新たに登録したドメイン(apply.gcareersapplyway[.]comなど)を使用し、「Google Careers」というテキストを複数の要素に分割するなどのHTMLトリックでスキャナーの回避を図っていました。
「これらの攻撃で興味深い回避戦術を観察しました」とSublimeの研究者は述べています。「攻撃者は『Google Careers』という単語をHTMLフォーマットで分割し、テキストスキャナーを回避しました。あるケースでは、『Google』の各文字をそれぞれ別の<label>要素に入れ、単語を分割して一つの単語として認識されないようにしていました。」
検出された送信者の中には、メッセージ配信のために「サービスの悪用または侵害」が複数見られました。悪用されたサービスにはSalesforce、Recruitee、Addecco、Muckrackなどが含まれます。攻撃者はまた、偽の人間認証ステップも取り入れており、「通話予約」リンクの後に、被害者は本物または偽装されたCloudflare Turnstileページに誘導され、そこから偽のスケジューラー、最終的には認証情報取得フォームへとリダイレクトされます。
組織が取るべき対策
Sublimeは、このフィッシング活動を支える高度なバックエンドインフラを観察しました。単なる静的な偽ログインページに頼るのではなく、攻撃者は新たに登録したドメイン(gappywave[.]com、gcareerspeople[.]comなど)や、satoshicommands[.]comのようなコマンド&コントロール(C2)サーバーを使い、盗んだ認証情報を処理しているようです。
さらに、偽ページのHTMLやJavaScriptにはバックエンド通信を処理する「gw.php」ファイルとのやり取りが含まれており、単なる静的なクローンページではなく、より動的なフィッシングキットであることを示しています。
SublimeはWebSocketサーバーや多数のランディングページドメインを含む侵害指標(IOC)のリストを公開しました。サイバーセキュリティ企業は具体的な推奨事項は挙げていませんが、このキャンペーンへの基本的な対策としては、強力な多要素認証(MFA)の徹底、アイデンティティ重視の防御戦略の導入、異常なログインパターンや地理情報の監視、従業員への未承諾のリクルーター招待に対する警戒心の教育などが挙げられます。このキャンペーンの背後にいる脅威アクターは特定されていませんが、最近も同様の攻撃が報告されており、ある作戦(Contagious Interviews)は北朝鮮のAPTによるものとされています。
