TokyoBlackHatNews

malwarebytes.com 5分で読了

スパムフィルター通知を装ったフィッシングメールがログイン情報を盗んでいます

サイバー犯罪者は、なりすましによって「メール配信」通知を自分の組織内のスパムフィルターから送られたように見せかけています。目的は、あなたをフィッシングサイトに誘導し、メールやクラウドストレージ、その他の個人アカウントを解錠できるログイン認証情報を盗み取ることです。

このメールは、セキュアメッセージシステムのアップグレードにより、いくつかの保留中のメッセージが受信トレイに届かず、今すぐ移動できる状態になっていると主張しています。

Image

「メール配信レポート:受信保留中メッセージ

最近、私たちはセキュアメッセージシステムをアップグレードしました。そのため、受信トレイに配信されていない保留中のメッセージがあります。

配信失敗メッセージ

[email protected] のメール配信レポート

   ステータス :                         件名:                      日付:            時間:

{疑いを持たせないために、非常に一般的でよくあるメッセージタイトルがいくつか記載されている}

受信トレイに移動(ボタン)

注意     : このメッセージを受け取った後、1~2時間以内にメッセージが配信されます。このメッセージが迷惑メールフォルダに入った場合は、受信トレイに移動してください。

メールは {spoofed domain} により暗号化されています © All Rights Reserved. | このメッセージの受信を希望しない場合    退会する(リンク)」

「受信トレイに移動」ボタンと退会リンクの両方が、cbssports[.]com のリダイレクトを悪用して、実際のフィッシングサイト(mdbgo[.]ioドメイン、Malwarebytesによりブロック済み)へ誘導します。

Image

Unit42 の研究者はこの種のフィッシングキャンペーンについて警告しており、私たちも詳しく調査することにしました。

リンクは、なりすまされたメールアドレスをbase64でエンコードした文字列としてフィッシングサイトに渡します。そのサイトにアクセスすると、ターゲットのドメインがすでに入力された偽のログイン画面が表示され、個人向けかつ正規のもののように見せかけています:

Image

Unit42の調査結果とは異なり、今回の攻撃バージョンはより巧妙で、急速に進化している可能性が高いことが分かりました。フィッシングサイトのコードは高度に難読化されており、認証情報はウェブソケットを通じて収集されます。

Image

ウェブソケットは、あなたのブラウザとウェブサイトのサーバー間で常時開いた通信チャネルを維持します。まるで電話を切らずに会話し続けているようなものです。これにより、ブラウザとサーバーはページをリロードすることなく、即座に双方向でメッセージをやり取りできます。サイバー犯罪者はウェブソケットを好んで利用します。なぜなら、あなたがフィッシングサイトに情報を入力した瞬間にその情報を受け取ることができ、さらに二要素認証(2FA)コードなど追加情報の入力を促すこともできるからです。

つまり、このようなサイトでメールアドレスやパスワードを入力すると、攻撃者は即座にあなたのメールを乗っ取り、クラウド上のファイルにアクセスし、他のパスワードをリセットしたり、さまざまなサービスであなたになりすますことができてしまいます。

フィッシングメールから身を守る方法

このようなフィッシング攻撃では、2つのシンプルなルールを守るだけで多くのトラブルを回避できます。

  • 身に覚えのない添付ファイルは開かない
  • サインインする前に、必ずブラウザのウェブサイトアドレスを確認し、期待しているサイトと一致しているか確かめる

フィッシング全般から身を守るためのその他の重要なポイント:

  • 送信者を確認する。送信者のメールアドレスが想定通りか必ず確認しましょう。決定的な判断にはなりませんが、不審な試みを見抜く助けになります。
  • 予期しない添付ファイルやリンクが届いた場合は、別の手段で依頼内容を再確認する
  • 最新のセキュリティソフト(できればウェブ保護機能付き)を利用する
  • デバイスとすべてのソフトウェアを常に最新の状態に保つ
  • 可能な限りすべてのアカウントで多要素認証(MFA)を利用する
  • パスワードマネージャーを使う。パスワードマネージャーは、たとえ本物そっくりでも偽サイトには自動入力しません。

もし信頼できないページで認証情報を入力してしまった場合は、すぐにパスワードを変更してください。

プロのヒント: 無料のMalwarebytes Browser Guard拡張機能でもこの攻撃を防ぐことができました:

Image

侵害の痕跡(IOC)

  • mdbgo[.]io の複数のサブドメイン
  • xxx-three-theta.vercel[.]app
  • client1.inftrimool[.]xyz
  • psee[.]io
  • veluntra-technology-productivity-boost-cold-pine-8f29.ellenplum9.workers[.]dev
  • lotusbridge.ru[.]com
  • shain-log4rtf.surge[.]sh

私たちは脅威を報告するだけでなく、駆除も行います

サイバーセキュリティリスクは、見出しだけにとどめるべきです。脅威をデバイスに寄せ付けないために、今すぐMalwarebytesをダウンロードしましょう

翻訳元: https://www.malwarebytes.com/blog/news/2025/11/phishing-emails-disguised-as-spam-filter-alerts-are-stealing-logins

ソース: malwarebytes.com
#AIサイバー犯罪 #AIフィッシング #AIマルウェア #AIメールセキュリティ #Malwarebytes #WebSocket attacks #スパムメール #パスワードマネージャー #多要素認証(2FA) #認証情報窃取

関連記事

巧妙な著作権侵害通知でGoogleログイン情報を狙うフィッシング詐欺

23andMe、数百万人の遺伝情報を流出か——訴訟で明らかに

偽のウイルス警告がモバイルゲームに蔓延