「NEW Purchase Order # 52177236.pdf」というPDFは、フィッシングの誘い文句でした。そこで、その背後にあるフィッシングスクリプトを分析しました。
ある顧客から、「購入注文書」メールに含まれていたリンクをMalwarebytesがブロックしたとして連絡がありました。
添付ファイルを調べると、ブロックした理由はすぐに明らかになりました。
PDFの表示内容には、受信者に購入注文書を表示するよう促すボタンがありました。ボタンにマウスカーソルを合わせると、PDFビューアへの参照を含む長いURLが表示されました。ぱっと見では騙される人もいるかもしれませんが、よく見ると危険信号がありました。
私は好奇心を抑えられないことが多いので、リンク先がどこかを見るために、Malwarebytesのウェブ保護に一時的に除外設定を追加しました。遷移先はログインフォームを表示するウェブサイトで、標的のメールアドレスがすでに入力されていました(ここに表示しているアドレスは私が作成した架空のものです)。
目的は明白でした。フィッシングです。しかし、サイトのソースコードからはあまり多くのことは分かりませんでした。
最も可能性が高い目的は、業務用メールアドレスとそのパスワードの収集です。攻撃者は一般に、これらの認証情報をMicrosoft Outlook、Google Workspace、VPN、ファイル共有プラットフォーム、給与システムなどの企業向けサービスで試します。「業務用メール」という意図的に曖昧な入力促しは、個人用ではなく企業の認証情報を入力させる可能性を高めます。
また、小さなパーソナライズもありました。「Estimado」という挨拶はプロフェッショナルな印象を与え、スペイン語圏のビジネス文書でよく使われます。
詳細な分析はこの先を読んでいただきたいのですが、本当の手がかりは、収集された認証情報に加えて、被害者のブラウザ、OS、言語、Cookie、画面サイズ、位置情報といった追加情報が添えられていた点です。これらのデータはTelegram上の詐欺師のアカウントへ直接送信され、企業ネットワークの侵害に使われたり、他のサイバー犯罪者に売られたりする可能性があります。
VirusTotalで簡単に検索したところ、まったく同じionoscloud.comサブドメインへリンクするPDFファイルが複数見つかりました。
分析
先に述べたとおり、最初のフィッシングページのソースコードからは多くが分かりませんでした。おそらく、どのウェブサイトにも設置できる自動生成テンプレートで、攻撃者が素早く入れ替えられるようになっているのでしょう。
ionoscloud.comは、欧州の大手ホスティング企業IONOSのクラウドインフラ部門であるIONOS Cloudのドメインです。ウェブサイトやファイルのホスティングなど、Amazon AWSやMicrosoft Azureに似たサービスを提供しています。詐欺師がIONOS Cloudのような信頼性の高いクラウドプラットフォームをあえて選ぶのは、有名ドメイン上でホストされていることによる「ハロー効果」があるためで、セキュリティ企業がドメイン全体を一括でブロックできないからです。
犯罪者はまた、フィッシングサイトを素早く立ち上げ、変更し、撤去できる柔軟性を得られ、新しいURLやストレージバケットへ移動することで検知回避を続けられます。
そこで私たちは手がかりを追ってJavaScriptファイルに辿り着きましたが、これは難読化されたスクリプトで、しかも非常に長いものでした。ただし末尾は有望に見えました。
この時点では何をしているのかまだ不明だったため、感染を避けつつスクリプトを実行せずにソースコードを取得できるよう、スクリプトに変更を加えました。そのために、元のスクリプトの最終行を、次の層をHTMLファイルへエクスポートするコードに置き換えました。
次の難読化層は簡単でした。中身はエスケープ解除が必要な長い文字列だけでした。長さの都合で、私はオンラインデコーダを使って解除しました。
これにより、標的が実際に目にするフォームのコード、そしてこのフィッシング行為全体の目的が分かりました。
実際に情報を収集する部分は、別のスクリプトに隠されていました。
これもかなり長く難読化されていましたが、コードを分析して関数に読みやすい名前を付けることで、スクリプトがどの情報を収集しているかを突き止めました。たとえば、このスクリプトはipapiの位置情報サービスを使用しています。
そして、詳細の送信先も突き止めました。
フィッシングページに入力された認証情報は、攻撃者のTelegramボットへ直接POSTされ、収集のために攻撃者が指定したTelegramチャットへ即座に転送されます。スクリプトにハードコードされていたTelegramチャットIDは5485275217でした。
安全を保つ方法
ここでの助言はごく標準的なものです。(顧客がしたように行動し、私のようにはしないでください。)
- フィッシングやマルウェアのキャンペーンではPDFファイルが頻繁に使われるため、他の添付ファイルと同様に扱ってください。信頼できる送信者が送ったと確認するまで開かないでください。
- 送信者に確認せずに添付ファイル内のリンクをクリックしないでください。特に、メッセージを予期していなかった場合や送信者を知らない場合はなおさらです。
- ログイン情報の入力を求めるウェブサイトのアドレスは必ず確認してください。パスワードマネージャーは、偽サイトでは認証情報を自動入力しないため、ここで役立ちます。
- リアルタイムのマルウェア対策を使用してください。できればウェブ保護コンポーネント付きのものが望ましいです。 Malwarebytes は、このキャンペーンに関連するドメインをブロックします。
- 不審な添付ファイルを検出して隔離できるメールセキュリティソリューションを使用してください。
プロのヒント: Malwarebytes Scam Guardは、PDFのスクリーンショットをフィッシングの試みとして認識し、対処方法に関する助言を提供しました。
翻訳元: https://www.malwarebytes.com/blog/threat-intel/2025/12/inside-a-purchase-order-pdf-phishing-campaign
