最近の調査で、私たちは開発者向けプラットフォームの無料ホスティングと、侵害された正規サイトを組み合わせて、もっともらしい銀行や保険会社のログインポータルを作り出すフィッシング作戦を発見しました。これらの偽ページは、ユーザー名とパスワードを盗むだけではなく、秘密の質問への回答や、攻撃者が多要素認証やアカウント復旧保護を回避するために利用できるその他の「バックアップ」データも要求します。
盗んだデータを従来型のコマンド&コントロールサーバーに送信する代わりに、このキットはすべての送信内容を Telegram ボットに転送します。これにより攻撃者は、すぐに利用できる新鮮なログイン情報をリアルタイムで受け取ることができます。また、多くのドメインベースのブロック戦略を回避し、インフラの入れ替えも非常に容易になります。
フィッシンググループは、Cloudflare Pages(*.pages.dev)のようなサービスを使って偽ポータルをホストすることが増えており、実際のログイン画面をほぼピクセル単位でコピーすることもあります。今回のケースでは、攻撃者は金融機関や医療保険会社になりすましたサブドメインを立ち上げていました。最初に発見したのは、ハートランド銀行 Arvest を装ったものでした。
詳しく見ると、このフィッシングサイトは訪問者に 2 回の「ログイン失敗」画面を表示し、セキュリティ質問への回答を求め、その後、すべての認証情報と回答を Telegram ボットに送信します。
インフラを他のサイトと比較したところ、さらにはるかに有名なブランドである United Healthcare を装ったサイトも見つかりました。
このケースでは、フィッシャーは侵害されたウェブサイトをリダイレクターとして悪用していました。攻撃者は biancalentinidesigns[.]com のような一見正規に見えるドメインを乗っ取り、フィッシングやリダイレクト用に長くて分かりにくいパスを付与します。メールはまずその正規ドメインへのリンクを含み、そこから被害者を Cloudflare Pages 上のアクティブなフィッシングサイトへ転送します。見慣れた、あるいは無害そうに見えるドメインを含むメッセージは、明らかに新しいクラウドホストのサブドメインへのリンクよりも、スパムフィルターをすり抜けやすくなります。
クラウドベースのホスティングは、テイクダウンも困難にします。ある *.pages.dev ホスト名が報告されて削除されても、攻撃者は同じキットを別のランダムなサブドメインに素早く展開し、活動を再開できます。
このキャンペーンの中心にあるフィッシングキットは、通常のサインインフローに見せかけながら、可能な限り多くの機密データを抜き取るよう設計された複数ステップのパターンに従っています。
通常のフォーム送信で目に見えるバックエンドに送る代わりに、JavaScript が入力フィールドを収集し、それらをまとめて Telegram API に直接送信されるメッセージにします。そのメッセージには、被害者の IP アドレス、ユーザーエージェント、取得したすべてのフィールドが含まれ、犯罪者は防御を回避したり、類似環境からサインインしたりするために利用できる、整然としたスナップショットを得られます。
このデータ流出メカニズムは、最も懸念すべき点のひとつです。単一のホスト型パネルに認証情報を送るのではなく、このキットは JavaScript にハードコードされたボットトークンとチャット ID を使って、1 つ以上の Telegram チャットに投稿します。被害者がフォームを送信するとすぐに、オペレーターは Telegram クライアントで詳細情報を含むメッセージを受け取り、即座に悪用したり転売したりできる状態になります。
この手法は攻撃者にいくつかの利点をもたらします。ボットやチャット ID を頻繁に変更でき、自前のサーバーを維持する必要がなく、多くのセキュリティコントロールは、よく知られたメッセージングプラットフォームへの通常の接続のように見えるトラフィックにはあまり注意を払わないのです。複数のボットやチャットをローテーションすることで、あるトークンが報告されて無効化されても冗長性を確保できます。
攻撃はどのように見えるか
これらの要素をすべて組み合わせると、この種のキャンペーンにおける被害者の体験は、しばしば次のようになります。
- 「オンラインバンキングへのアクセスが制限されています」や「至急: United Health 給付の更新」など、銀行や健康保険に関するフィッシングメールを受け取る。
- リンクは、すぐには不審に思われないような長い、または奇妙なパスを使った、正規だが侵害されたサイトを指している。
- そのハッキングされたサイトが、無音で、あるいは短い遅延の後に、なりすましブランドとほぼ同一に見える *.pages.dev のフィッシングサイトへ被害者をリダイレクトする。
- ユーザー名とパスワードを入力すると、被害者にはエラーや追加認証ステップが表示され、秘密の質問への回答や、より多くの個人情報・金融情報の提供を求められる。
- 裏側では、送信された各フィールドが JavaScript で取得され、Telegram ボットに送信され、攻撃者はそれを即座に利用したり売却したりできる。
被害者の視点からは、少し変なリンクとログイン失敗以外には、特におかしな点はないように見えます。一方、攻撃者にとっては、無料ホスティング、侵害されたリダイレクター、Telegram ベースのデータ流出を組み合わせることで、スピード、スケール、そしてレジリエンスを手に入れています。
このキャンペーンの背後にあるより大きなトレンドは明らかです。無料のウェブホスティングや主流のメッセージングプラットフォームに依存することで、フィッシング攻撃者は、単一の悪意ある IP や明らかに怪しいドメインといった、従来ディフェンダーが頼りにしていたボトルネックを回避しています。新しいインフラを立ち上げるのは安価で迅速であり、被害者にはほとんど見えません。
安全を守るには
教育と健全な懐疑心は、安全を保つための重要な要素です。いくつかの習慣を身につけることで、こうしたポータルを避けることができます。
- ロゴやページデザインだけでなく、必ずドメイン名全体を確認すること。銀行や健康保険会社が、
*.pages.devや*.netlify.appのような汎用的な開発者向けドメインや、無関係なサイト上の奇妙なパスにサインインページをホストすることはありません。 - 差出人不明のメールや SMS に含まれるサインインリンクや給付リンクはクリックしないこと。代わりに、ブックマークや自分でアドレスを入力して、その機関のサイトにアクセスしてください。
- ログイン失敗後に突然表示される「追加のセキュリティ」プロンプトには注意すること。特に、セキュリティ質問の回答、カード番号、メールパスワードなどを求めてくる場合は要注意です。
- リンク先、タイミング、要求される情報のいずれかに少しでも違和感があれば、その場で中止し、公式サイトに記載された信頼できる連絡先情報を使って提供元に問い合わせてください。
- ウェブ保護機能を備えた最新のアンチマルウェアソリューションを使用してください。
プロ向けヒント: Malwarebytes 無料版の Browser Guard 拡張機能は、これらのウェブサイトをブロックしました。
