脅威アクターが重要なサービスや一般サービス、オンラインプラットフォーム、暗号通貨取引所になりすまし、2024年4月以降続く大規模なスミッシングキャンペーンを展開しているとPalo Alto Networksが警告しています。
このサイバーセキュリティ企業は、通行料や荷物配達サービスになりすます1万件以上のドメインを特定した2024年3月初旬に、最初の警告を発しました。約1か月後には、これらの攻撃に利用された9万1,500件以上のルートドメインについて警告しました。
その後の分析で、このキャンペーンはさらに大規模であり、2024年1月1日以降、19万4,000件以上の悪意あるドメインがこれらの攻撃に利用されていることが明らかになりました。
通行料や荷物配達サービスに加え、攻撃は医療機関、銀行、暗号通貨プラットフォーム、EC・オンライン決済プラットフォーム、法執行機関、ソーシャルメディアプラットフォームになりすましています。
「このキャンペーンは非常に分散化されており、単一の管理ポイントが存在しません。大量のドメインと多様なホスティングインフラを利用しています。攻撃者にとっては、毎週数千のドメインを使い回すことで検知が困難になるという利点があります」とPalo Alto Networksは指摘しています。
攻撃の大半は米国のユーザーを標的としていますが、実際には世界中に被害が広がっており、アルゼンチン、オーストラリア、カナダ、フランス、ドイツ、アイルランド、イスラエル、リトアニア、マレーシア、メキシコ、ポーランド、ロシア、UAE、英国、その他の国々で被害者が確認されています。
Palo Alto Networksによると、このキャンペーンの背後にいるのは「Smishing Triad」と呼ばれる中国語話者の脅威アクターで、少なくとも2023年から活動しています。SMSフィッシングに加え、iPhoneユーザーのiMessageアプリにインド郵便になりすましたメールを送信する攻撃も確認されています。
今年初めには、この脅威アクターがTelegramチャンネルで「Lighthouse」と呼ばれる新たなフィッシングキットを自慢しているのが確認されており、これによりオーストラリアやAPAC地域の主要な西側金融機関や銀行を標的にできるとしています。
広告。スクロールして続きをお読みください。
Palo Alto Networksは、Smishing Triadの攻撃は常に進化しており、キャンペーンに関連する大量のドメインがその証拠だと指摘しています。
一貫しているのは、緊急性を装い、被害者を悪意あるドメインに誘導して社会保障番号などの個人情報を入力させる、ソーシャルエンジニアリングを利用したパーソナライズされたSMSメッセージです。
このキャンペーンはフィッシング・アズ・ア・サービス(PhaaS)によって支えられている可能性があります。関与する脅威アクターはサプライチェーンの各段階に特化しており、データブローカー、ドメイン販売業者、ホスティングプロバイダー、フィッシングキット開発者、SMSスパマー、有効な電話番号やブロックされたドメインをチェックするサポート役などが含まれます。
キャンペーンで使用されたドメインの82.6%は寿命が2週間以下であり、登録から3か月後もアクティブだったのは6%未満でした。Palo Alto Networksによると、29.19%のドメインは2日以内に活動を終えています。
不正ドメインのうち約9万件が通行料サービスになりすまし、2万8,000件以上が米国郵便公社(USPS)になりすましていました。
その他のドメインは、家電メーカー、金融サービス企業、IRSや米国州の車両部門などの政府サービス、郵便・配送サービス、警察、カープールアプリ、ホスピタリティサービス、個人向けクラウドサービス、オンラインゲームやゲーム内スキンのマーケットプレイスになりすましていました。
「人々には警戒と注意を怠らないよう助言します。知らない送信者からの未承諾メッセージは疑ってかかるべきです。緊急の対応を求めるメッセージは、必ず公式サービス提供者のウェブサイトやアプリで確認することを推奨します」とPalo Alto Networksは述べています。
翻訳元: https://www.securityweek.com/massive-china-linked-smishing-campaign-leveraged-194000-domains/
