TokyoBlackHatNews

gbhackers.com 4分で読了

AI搭載のフィッシングキットがMicrosoftユーザーを標的にし、認証情報を窃取

セキュリティ研究者は、Microsoft Outlookユーザーを標的とする高度なスペイン語のフィッシングキットを発見し、AI支援によるコード開発の可能性を伴う、組織的な認証情報窃取オペレーションと思われる実態を明らかにしました。

「Mycelial Mage」という作戦コードネームで追跡されているこのツールキットは、進化する解析回避能力と、TelegramおよびDiscordを用いた一時的(エフェメラル)な流出チャネルへの意図的な移行を示しています

2025年8月に開始された調査では、このオペレーションの起源が少なくとも2025年3月まで遡ることが確認されています。

しかし、キャンペーンの真の規模はさらに広い可能性があります。研究者は、悪意のあるコードに埋め込まれた特徴的なシグネチャ(Outlookを参照する装飾的な文字列に挿入された4つのキノコ絵文字:🍄🍄0UTL🍄🍄)を手がかりにこのキットを特定しました。これは意図的な目印であり、インターネット上の複数の展開を追跡するうえで非常に有用であることが判明しました。

Mycelial Mageキットには反復的な開発の明確な証拠があり、研究者は少なくとも3つの異なる進化段階を記録しています。

最初期の亜種はモジュール式アーキテクチャを採用し、設定データを実行ロジックから分離していました。後の反復では、静的解析と動的解析の双方を妨害することを目的とした攻撃的な解析回避策が導入されました。

これらの防御技術には、開発者ツールが開かれた際に作動する動的デバッガトラップ、実行時の可視性を抑制するためのコンソールメソッドのハイジャック、そしてソース解析時に破滅的バックトラッキングを引き起こすよう設計された自己参照的な正規表現パターンが含まれます。

最近野外で検出された最新の亜種には、特に新たに観測されたDiscordベースの流出モジュールにおいて、AI支援開発の特徴が見られます。

コードサンプルでは、一貫したインデント、明確に命名された関数、スペイン語の説明コメントが確認され、難読化された初期亜種とは明確に異なる特徴を示しています。

この変化は、オペレーターの高度化、またはコード開発と難読化のための生成AIツールへのアクセスを示唆します。

認証情報の取得と流出

運用ワークフローは、観測されたすべての亜種で一貫しています。実行されると、このキットは正規のIPジオロケーションサービス(api.ipify.orgおよびipapi.co)を用いて偵察を行い、被害者の位置情報データを解決します。

盗まれた認証情報(メールアドレスとパスワードを含む)は、流出前にIPアドレスおよびジオロケーション情報で補強されます。

データ窃取は標準化された形式に従い、オペレーターの菌類絵文字シグネチャで一貫してマーキングされています:🍄🍄0UTL🍄🍄 CORREO: [victim_email] PASSWR: [victim_password] 🌎IP: [IP_Address] [City, Country].

Image
キノコの追跡。

おそらく最も注目すべき点として、研究者は最近のキャンペーンにおいて、Telegramベースの流出からDiscordのWebhookへの戦略的な移行を観測しました。この変化は、防御側の能力に対する高度な理解を反映しています。

Telegramのボットトークンは展開が容易である一方、潜在的なフォレンジック上の「窓」を生みます。防御側が有効な認証情報を入手した場合、APIメタデータを照会したり、メッセージログを傍受したりできる可能性があります。

Microsoft Outlookユーザー、特にスペイン語圏の地域にいるユーザーにとっては、求めていない認証要求やメール検証プロンプトに対する警戒を高めることが、防御のうえで引き続き重要です。

サービスとしてのインフラ(IaaS)モデル

ホスティングのパターンは、このオペレーションが単一のキャンペーンではなく、分散型のフィッシング・アズ・ア・サービスのエコシステムとして機能していることを示唆しています。

展開インフラは複数の自律システムおよびIPレンジにまたがって区画化されており、耐障害性のための意図的な分離を示しています。

しかし、TelegramトークンとDiscord Webhookが孤立したインフラクラスターを橋渡しする流出レイヤーでの選択的な収束は、バックエンドの再利用と運用効率を示しています。

Image
一時的な流出チャネルに関する仮説。

この発見は、認証情報窃取オペレーションにおけるより広範な傾向を浮き彫りにしています。すなわち、開発手法と運用上のトレードクラフトの双方で高度化が進んでいるということです。

対照的に、DiscordのWebhookは書き込み専用のシンクとして機能します。流出データが送達されると、Webhook URLのみを保持する者にとって履歴記録はアクセス不能となり、本質的に不透明な流出チャネルが形成されます。

翻訳元: https://gbhackers.com/ai-powered-phishing/

ソース: gbhackers.com
#AI支援開発 #Discord webhook #Microsoft Outlook #Mycelial Mage #phishing-as-a-service #Telegram #アンチ解析 #フィッシング #地理位置情報(IPジオロケーション) #認証情報窃取

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚