新たな悪意ある配布ツール「GhostFrame」は、サイバー犯罪エコシステム全体に驚異的なスピードで拡散し、100 万件を超えるフィッシング攻撃の発信源となっている。その登場は、従来型のウェブページ偽装キットとは大きく異なる動作メカニズムを持つことから、セキュリティ研究者の強い関心を集めている。最大の特徴は、正当なページに見せかけながら悪意ある中核部分を隠蔽する、ステルス型の iframe ベースアーキテクチャにある。
Barracuda のチームが GhostFrame を初めて検知したのは 9 月で、その際にこの名称を与えた。同社によると、この攻撃の基盤となるのは、一見して怪しい点がまったくない単純な HTML ファイルである。すべての有害な挙動は iframe 内に閉じ込められている。iframe とは、ウェブページ内に埋め込まれた小さなウィンドウで、外部ソースのコンテンツを表示できる仕組みだ。その結果、外側のページは本物のように見える一方で、隠されたコンテンツの出所と目的は覆い隠されたままとなる。この構造により、フィッシングシナリオを容易に切り替え、特定地域向けに細かく調整したり、キットを配布するベースページを変更することなく誘引コンテンツを更新したりできる。
Barracuda によれば、iframe の悪用自体は決して新しいものではないが、GhostFrame はこのモデルを全面的に採用した初の本格的なツールキットである。その攻撃チェーンは 2 段階で構成される。外側のページには従来型のフィッシングの兆候がなく、軽度のコード難読化が施され、訪問者ごとに新しいサブドメインを自動生成する。埋め込まれたポインタが、選別された被害者を iframe 経由で読み込まれる第 2 段階へと誘導する。隠されたこのレイヤー内にこそ欺瞞的なコンポーネントが存在し、もともと大容量ファイルのストリーミング用に設計された機能に埋め込まれている――この手法により、静的検知システムを回避しやすくなる。
フィッシングメール自体は、架空の社内通知から人事部を装った偽メッセージまで多岐にわたる。その目的は、受信者をだまして悪意あるリンクをクリックさせたり、添付ファイルをダウンロードさせたりすることにある。最近の件名には、「年次評価のリマインダー」「請求書を添付しました」、「パスワード変更のお願い」 などが含まれる。
Barracuda は、ブラウザを定期的に更新すること、身に覚えのないリンクを避けること、そして不審な iframe を検知できるメールゲートウェイやウェブフィルタを導入することでリスクを低減するよう推奨している。さらに、企業リソース上での iframe 埋め込みを制限し、ウェブサイトに対するコードインジェクションのリスクをスキャンし、通常とは異なるリダイレクトを監視することも助言している。Barracuda の見解では、GhostFrame のような秘匿型攻撃フレームワークを効果的に抑え込むには、多層防御戦略のみが有効である。
翻訳元: https://meterpreter.org/ghostframe-stealthy-iframe-phishing-toolkit-fuels-1-million-covert-attacks/
