TokyoBlackHatNews

bleepingcomputer.com 5分で読了

偽のCalendly招待が大手ブランドを装い広告マネージャーアカウントを乗っ取る

Image

進行中のフィッシングキャンペーンが、Unilever、Disney、MasterCard、LVMH、Uberといった人気ブランドを装い、Calendlyをテーマにした誘導でGoogle WorkspaceおよびFacebookビジネスアカウントの認証情報を盗み取っています。

脅威アクターがビジネスの広告マネージャーアカウントを狙うこと自体は新しいものではありませんが、Push Securityが発見した このキャンペーンは、非常に標的を絞っており、プロが作成したような誘導文面によって、高い成功率を生み出す条件が整えられています。

マーケティングアカウントへのアクセスは、脅威アクターにとって、AiTMフィッシング、マルウェア配布、ClickFix攻撃のためのマルバタイジングキャンペーンを開始する足掛かりとなります。

また、広告プラットフォームはジオターゲティング、ドメインフィルタリング、デバイス別ターゲティングを可能にするため、「水飲み場型」攻撃のような手法も実行できます。

最終的に、侵害されたマーケティングアカウントはサイバー犯罪者に転売できるため、直接的な金銭化も常に有効な選択肢です。

Google Workspaceアカウントは、特にSSOや緩いIdP構成を通じて、企業環境や業務データにまで拡張されていることも少なくありません。

Calendlyフィッシング

Calendlyは正規のオンライン日程調整プラットフォームで、ミーティングの主催者が相手にリンクを送り、受信者が空いている時間枠を選択できるようにするサービスです。

このサービスは過去にも悪用された事例があり、フィッシング攻撃に使われてきましたが、今回のキャンペーンを一段と危険なものにしているのは、よく知られたブランドを利用して信頼感と親近感を悪用している点です。

攻撃は、脅威アクターが有名ブランドのリクルーターになりすまし、標的に偽のミーティング招待を送るところから始まります。リクルーターは実在する従業員であり、その人物もフィッシング用ランディングページ上でなりすましの対象となっています。

フィッシングメールはAIツールを使って作成されたとみられ、LVMH、Lego、Mastercard、Uberなど75以上のブランドを装っています。

攻撃のきっかけとなるフィッシングメール
出典: Push Security

被害者がリンクをクリックすると、まずCAPTCHAを提示する偽のCalendlyランディングページに誘導され、その後、訪問者のGoogle Workspaceログインセッションを盗み取ろうとするAiTMフィッシングページへと進みます。

Push Securityは、フィッシング攻撃の影響を受けた組織の1つと話した結果、このキャンペーンがGoogle MCC広告マネージャーアカウントを標的としていることを確認したとBleepingComputerに伝えました。

Image
偽のCalendlyページ
出典: Push Security

Push Securityは、このキャンペーンを支える31個のユニークなURLを発見しましたが、さらに調査を進めると、追加のバリエーションも明らかになりました。

あるバリエーションでは、Unilever、Disney、Lego、Artisanになりすまし、Facebookビジネスの認証情報を狙っていました。

Pages targeting Facebook accounts
Facebookアカウントを狙うページ
出典: Push Security

さらに最近のバリエーションでは、Browser-in-the-Browser(BitB)攻撃を用いて、正規のURLが表示された偽のポップアップウィンドウを表示し、GoogleとFacebook両方の認証情報を盗み取ろうとしています。

Variant targeting both account types
両方のアカウント種別を狙うバリエーション
出典: Push Security

フィッシングページには、VPNやプロキシ経由のトラフィックをブロックしたり、ページ閲覧中に開発者ツールを開けないようにしたりするなど、解析妨害の仕組みが組み込まれています。

同時に、Push Securityは、Google検索で「Google Ads」と検索したユーザーが悪意あるスポンサー広告をクリックしてしまう、Google Ads Managerアカウントを狙った別のマルバタイジングキャンペーンも観測しました。

Malicious search results ranking first
最上位に表示される悪意ある検索結果
出典: Push Security

これらの結果は、被害者をGoogle Adsを装ったフィッシングページへ誘導し、そこからさらにGoogleのログイン画面になりすましたAiTMフィッシングページへとリダイレクトします。

Fake Google Ads landing page
偽のGoogle Adsランディングページ
出典: Push Security

Push Securityは、このキャンペーンの複数のインスタンスを発見しており、それらはOdoo上にホストされ、ときにはKartra経由でルーティングされていました。

広告マネージャーアカウントを狙う同様のキャンペーンはこれまでも報告されていますが、依然として脅威アクターにとっては収益性の高い手口です。

AiTM手法により、攻撃者は二要素認証(2FA)を回避できるため、価値の高いアカウントの所有者には、ハードウェアセキュリティキーの利用、認証情報を入力する前のURL確認、そしてログインポップアップをブラウザウィンドウの端までドラッグして正当性を確認することが推奨されます。

翻訳元: https://www.bleepingcomputer.com/news/security/fake-calendly-invites-spoof-top-brands-to-hijack-ad-manager-accounts/

ソース: bleepingcomputer.com
#AiTMフィッシング #Calendly悪用 #Facebookビジネスアカウント #Google Workspaceアカウント乗っ取り #フィッシング攻撃 #ブラウザインザブラウザー攻撃(BitB) #ブランドなりすまし(Disney・Uber・Mastercardなど) #マルバタイジング #二要素認証回避とセキュリティ対策 #広告マネージャーアカウント侵害

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用