この記事では、資格情報(特にMicrosoft 365のようなサービスのもの)を盗むためにBrowser-in-the-Browser(BitB)手法を悪用する、最近の高度で巧妙なフィッシングキャンペーンを分析します。BitB攻撃は、公式ブラウザを超リアルに模倣した偽のログインウィンドウを生成できる点が特徴で、ユーザーを欺き、一見正規に見える画面に情報を入力させます。
技術分析により、このキャンペーンの危険性は視覚的な欺瞞だけでなく、複雑な隠蔽および解析妨害のアーキテクチャにもあることが明らかになりました。攻撃の前段には検証用のランディングページがあり、最終ペイロードを難読化し、ボットや自動化されたセキュリティシステムをフィルタリングし、フォレンジック分析を妨害するために、多段階のJavaScriptデコード・パイプラインを実装しています。
この多層防御メカニズムにより、攻撃はセキュリティエンドポイントによる初期検知を回避し、より効果的に目的を達成できます。
最後に、実際のアドレスバーを常に確認することや、多要素認証の採用といった防御策も強調します。
BitB攻撃の仕組み
悪意のあるページはMicrosoft Edgeを完璧に模倣したウィンドウを生成し、login.microsoftonline.comのような本物のURLまで表示します。
しかし実際には、ページ内で移動可能な単なるグラフィック要素にすぎず、ブラウザの実際のアドレスバーは未知のドメインを指しています。
ユーザーは正規サイトにいると信じ込み、ドキュメントにアクセスするために「Microsoftでサインイン」するよう促されます。資格情報を入力すると、それらは攻撃者の手に直接渡ってしまいます。
簡易分析
攻撃チェーン:
Behance
初期の攻撃ベクターはフィッシングメールで、Behance(https://www.behance.net/)のような正規ポータルへリダイレクトするリンクを介して、悪意のあるファイル(またはそれらしく見せかけたリソース)をダウンロードするよう被害者を誘導します。
続いて、ドキュメントをダウンロードするためのリンクを開くよう求められます。
ランディング 1
本来のページが表示される前に、中間ページが表示されます。これは悪意ある活動やフィッシングキャンペーンの文脈でさまざまな目的に使われますが、最も重要なのは、VirusTotalでの解析のような最終的に疑わしいコンテンツの解析を回避するための、解析妨害とコンテンツ隠蔽です。
VirusTotalでランディングページを分析したところ、当初は疑わしいと判断したエンドポイントは1つだけでした。その後の分析では、ページを疑わしいと報告したエンドポイント数が3つに増加しました。
実際、初期ローダーには、機密データを難読化して取得するための4段階デコード・パイプラインを実装したJavaScriptコードが含まれており、文字列、URL、HTML断片を隠すために使用されます。
このファイルは疑わしいページを提示する前に起動されます。多層セキュリティゲートとして機能するためで、以下の目的でこれらの対策が用いられます:
- ボットのフィルタリング:ボットや自動化されたセキュリティシステムであればリダイレクトされ、フィッシングページを見られません。これはGoogle Safe Browsingのようなサービスによってページが「疑わしい」とマークされるのを避けるためです。
- ペイロードの隠蔽:最終的な脅威コード(「ペイロード」)は難読化され、初期ソースコード上ですぐには見えません。
- 解析の抑止:アンチデバッグ対策により、コードが解析ツールを積極的に検出してブロックしようとするため、セキュリティ研究者が脅威を分析することが極めて困難になります。
以下は難読化されたローダーのコード断片です。意外にも、実行されるすべての操作についてコード内にコメントまで挿入されており、すぐに読みやすくなっています。
DNS解決とHTTP呼び出しを詳細に分析すると、悪意のあるドメインはCloudflareのインフラの背後に配置されており、リバースプロキシとして機能していることが分かります。この構成は偶然ではありません。攻撃者は、データ保護と最適化のために生まれたツールを意図的に悪用し、戦略的な匿名性を確保しています。
この「盾」を通じて、悪意あるアクターはオリジンサーバーの実IPアドレスを隠し、IPレピュテーションに基づく境界セキュリティのチェックを回避し、フィッシングキャンペーンの寿命を最大化できます。
ランディング 2
「パズル」が解かれると、前段と同様の特徴を持つ新たな中間ステップが使用されます。
ターゲット
最後に、さらにリダイレクトされ、ドキュメントにアクセスするためのMicrosoft認証要求をシミュレートするよう設計されたページへ誘導されます。
このページにも難読化されたコンテンツが存在します。さらに、OSのフィンガープリンティングを利用し、偽ブラウザに特定のCSSクラス(.browser-window.edge.dark や .browser-window.safari)を追加することで、ユーザーのブラウザウィンドウとまったく同じ見た目になるようにしています。
Microsoftで認証するボタンをクリックすると、Microsoftのフォーム内容を取得するための新たなHTTP呼び出しがバックグラウンドで開始されます。
その後、ページ領域上に偽のブラウザ(本ケースではMicrosoft Edge)を開いたように見せかけ、URLまで「本物らしい」Microsoftのログイン画面を表示します。
この手法は前述のとおり、Browser-in-the-Browser(BITB)攻撃として知られています。
手法を理解するためのキット
開発者mr.d0xは教育目的で、極めてリアルなシングルサインオン型フィッシングログインフォームを作成できる「BitB Attack」キットをGitHubで公開しました。
リンク: https://github.com/lucthienphong1120/BITB-Phishing
結論
分析から明らかになったように、真の脅威は最終攻撃に先立つ複雑な隠蔽アーキテクチャに潜んでいます。
高度なJavaScriptデコードの連鎖に加え、検証ページや解析妨害・アンチボット対策の存在は、攻撃者側の高い準備レベルを示しています。
これらの予防策は、VirusTotalのような自動セキュリティスキャンからペイロードを隠すだけでなく、セキュリティアナリストが脅威を時間内に解読してブロックすることを極めて困難にします。
最終的なBitB攻撃は、グラフィック要素によって偽のブラウザウィンドウを作成し、視覚的な欺瞞によって資格情報を盗み取ります。
mr.d0xによる「BitB Attack」キットのような教育用ツールの公開は、研究目的であるとはいえ、この手法が容易に再現可能であり、幅広い悪意ある者にとって脅威が手の届くものになっていることを示しています。
効果的に防御するには、スパムメールに常に注意し、実際のURLを必ず確認し、このようなケースではMFA認証を有効にしておく必要があります。
この記事は気に入りましたか?私たちはLinkedIn、Facebook、Instagramのコミュニティで議論しています。Google Newsでもフォローして、サイバーセキュリティに関する日々の最新情報を受け取ってください。公開してほしいニュース、深掘り記事、寄稿などをお知らせいただける場合は、ご連絡ください。