ステルス性の高いiframeアーキテクチャを基盤とした新しいフィッシングフレームワーク「GhostFrame」が、100万件を超える攻撃に関連していることが判明しました。
このキットはBarracudaのサイバーセキュリティ専門家によって発見され、既知のPhishing-as-a-Service (PhaaS)サービスとは異なる手法を用いています。
GhostFrameの仕組み
GhostFrameの設計の中心には、一見無害なランディングページを装いながら、埋め込まれたiframe内に悪意ある挙動を隠すシンプルなHTMLファイルがあります。
この構造により、攻撃者は外見上のページを変更することなく、フィッシングコンテンツの差し替えや地域ターゲットの調整、スキャナーの回避が可能となります。Barracudaによれば、iframeの悪用自体は一般的ですが、フィッシングフレームワーク全体がiframeを中心に構築されたのはこれが初めてです。
GhostFrameの攻撃チェーンは2段階で展開されます。外側のページは典型的なフィッシングの特徴を持たず、軽度の難読化と、訪問者ごとに新しいサブドメインを生成する動的コードに依存しています。
その内部には、iframe内に二次的なフィッシングページを読み込むポインタが隠されています。この内部ページには、実際の認証情報収集コンポーネントが含まれており、静的検出ツールを回避するために非常に大きなファイルをストリーミングする機能の中に埋め込まれています。
フィッシング攻撃の傾向についてさらに読む:ブラウザーフィッシング攻撃が75万2,000件、前年比140%増加
このキットのメールは、偽の契約通知や人事関連の更新など、さまざまなテーマに切り替わります。件名には「セキュア契約&提案通知」「年次レビューのリマインダー」「請求書添付」「パスワードリセットリクエスト」などが含まれていました。
BarracudaはGhostFrameのソースコードに、難読化されたものと可読性の高いもの(後者には開発者コメントが含まれる)の2種類が存在することを確認しました。
このキットには、右クリックの無効化、F12キーのブロック、ページコードの検査に使われる一般的なショートカットの停止など、解析防止機能が含まれています。Enterキーさえも制限されており、ページの保存や検査の試みを妨げます。
GhostFrameは配信のためにランダム化されたサブドメインも使用します。ローダースクリプトが各サブドメインを検証した後、悪意あるiframeを表示し、iframe内部から送信されるメッセージに基づいてブラウザ環境を管理します。スクリプトが失敗した場合でも、ハードコードされたフォールバックiframeにより攻撃が継続されます。
防御策
Barracudaは、同様の脅威から守るために以下の戦略を推奨しています:
-
定期的なブラウザのアップデートを徹底する
-
スタッフに対し、不審なリンクを避け、URLを慎重に確認するよう教育する
-
メールゲートウェイやウェブフィルターを導入し、不審なiframeを検出する
-
企業サイトでのiframe埋め込みを制限し、インジェクションリスクをスキャンする
-
異常なリダイレクトや埋め込みコンテンツを監視する
「GhostFrameや同様のステルス型フィッシング攻撃からメールや従業員を守るには、多層的なアプローチが必要です」と同社は結論付けています。
翻訳元: https://www.infosecurity-magazine.com/news/ghostframe-phishing-hits-one/
