TokyoBlackHatNews

bleepingcomputer.com 4分で読了

LinkedInのフィッシング詐欺、財務幹部を偽の取締役会招待で標的に

LinkedInフィッシング、偽の取締役会招待で金融幹部を標的に

LinkedIn

ハッカーはLinkedInを悪用し、金融幹部を狙って取締役会の招待を装ったダイレクトメッセージ型フィッシング攻撃を仕掛け、Microsoftの認証情報を盗み取ろうとしています。

このキャンペーンはPush Securityによって発見され、最近LinkedInメッセージに悪意のあるリンクが含まれていたフィッシング攻撃をブロックしたと報告しています。

BleepingComputerの取材によると、これらのフィッシングメッセージは、幹部に対して新たに設立された「Common Wealth」投資ファンドの取締役会への参加招待であると偽っています。

BleepingComputerが確認したLinkedInフィッシングメッセージには、「南米でAMCO(当社の資産運用部門)と提携し、Common Wealth投資ファンドの取締役会への特別招待をお送りします。これは南米で立ち上げる新しいベンチャーキャピタルファンドです」と記載されています。

これらのフィッシングダイレクトメッセージは、受信者にリンクをクリックしてこの機会について詳しく知るよう促して終わります。

しかし、Push Securityによると、受信者がリンクをクリックすると一連のリダイレクトが行われます。最初のリダイレクトはGoogleのオープンリダイレクトを経由して攻撃者が管理するサイトに誘導され、さらにfirebasestorage.googleapis[.]com上にホストされたカスタムランディングページにリダイレクトされます。

フィッシング攻撃で使用されるリダイレクトチェーン
フィッシング攻撃で使用されるリダイレクトチェーン
出典: Push Security

Push SecurityとBleepingComputerが確認した、このキャンペーンで使用された悪意のあるドメインには、payrails-canaccord[.]icu、boardproposalmeet[.]com、sqexclusiveboarddirect[.]icuなどがあります。

Firebaseページは「LinkedIn Cloud Share」ポータルを装い、取締役会メンバーの役職や責任に関する様々な書類が含まれているように見せかけています。

しかし、これらの書類のいずれかをクリックしようとすると、「Microsoftで表示」ボタンをクリックしなければ書類にアクセスできないという警告が表示されます。

Firebase上の偽LinkedIn Cloud Shareプラットフォーム
Firebase上の偽LinkedIn Cloud Shareプラットフォーム
出典: Push Security

Pushによると、このボタンをクリックすると、ユーザーは再びlogin.kggpho[.]icuにリダイレクトされ、Cloudflare Turnstileキャプチャが表示されます。研究者によれば、これは自動スキャナーをブロックし、偽のMicrosoftログインページを表示するために使用されています。

「攻撃者は、CAPTCHAやCloudflare Turnstileなどの一般的なボット保護技術を利用して、セキュリティボットがウェブページにアクセスして分析するのを防いでいます(そのためページが自動的にフラグされるのを防ぐ)」とPush Securityは説明しています。

「これにより、ページを訪れる誰もがボットチェック/チャレンジを通過しなければページが読み込まれず、完全なページが自動ツールで分析できなくなります。」

Cloudflare Turnstileを突破すると、訪問者はMicrosoft認証ページに見せかけた画面を目にしますが、実際には認証情報とセッションクッキーを盗み取るAdversary-in-the-Middle(AITM)型フィッシングページです。

Microsoft認証情報を盗み取るフィッシングページ
Microsoft認証情報を盗み取るフィッシングページ
出典: Push Security

Pushによれば、フィッシング攻撃はメール以外のオンラインサービス上でも増加しており、ブラウザ上で直接発生しています。

「フィッシングはもはやメールだけで起きているわけではありません」とPush Securityの最高製品責任者Jacques Louw氏は述べています。「過去1か月間に追跡したフィッシング試行の約34%がLinkedInやその他の非メールチャネル経由で発生しています。これは3か月前の10%未満から大幅に増加しています。攻撃者は人々が実際にどこでコミュニケーションを取っているか、どのように効果的に標的にするかをより賢く把握しており、防御側もそれに対応する必要があります。」

この6週間でPush Securityが観測したLinkedIn上の幹部を狙ったフィッシングキャンペーンはこれが2回目で、最初は9月にテクノロジー幹部を標的にしていました。

ユーザーは、予期しないLinkedInメッセージでビジネスチャンスや取締役会の招待が届いた場合は注意し、ダイレクトメッセージで共有されたリンクはクリックしないようにしましょう。

未承諾メッセージの受信者は、送信者の身元やオファーの正当性を確認してから対応してください。また、多くのフィッシングキャンペーンでは.top、.icu、.xyzなどの珍しいトップレベルドメイン(TLD)が使われているため、これらのリンクも疑わしいものとして可能な限り避けるべきです。

翻訳元: https://www.bleepingcomputer.com/news/security/linkedin-phishing-targets-finance-execs-with-fake-board-invites/

ソース: bleepingcomputer.com
#Africa cybersecurity #AI Phishing #AI-driven social engineering #AITM phishing #cloud storage abuse #Cloudflare Turnstile #finance executives #LinkedIn #Microsoft credentials #non-email attacks

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用