TokyoBlackHatNews

esecurityplanet.com 5分で読了

WordPress管理者が更新メールのフィッシング詐欺の標的に

新たなフィッシングキャンペーンが、説得力のあるドメイン更新メールを用いてWordPress管理者を積極的に狙っており、クレジットカード情報と二要素認証コードをリアルタイムで窃取します。 

この攻撃は、緊急性、洗練されたブランディング、そして多段階の決済ワークフローに依存し、被害者をだまして機微な金融情報を渡させます。

研究者によると、このキャンペーンは「…被害者を攻撃者のインフラ上でホストされた偽のWordPress決済ポータルへ誘導し、クレジットカード情報と3-D SecureのOTPを窃取し、それらをTelegram経由で攻撃者へ流出させる」と 述べています

ドメイン更新フィッシング手口の内側

攻撃は、件名が「更新期限が間近 – 要対応。」となっている、巧妙に作り込まれたフィッシングメールから始まります。 

このメッセージは緊急性を煽る言葉遣いで受信者に即時対応を迫り、実際のドメイン名を意図的に記載しないまま、サービス停止の可能性を警告します。 

この汎用的な文言により、攻撃者は同じメールを多くの組織に使い回しつつ、もっともらしい正当性を保ち、受信者が反応する可能性を高められます。

被害者が埋め込まれたリンクをクリックすると、攻撃者が管理するインフラ上のsoyfix[.]com/log/log/でホストされた不正なWordPress決済ページへリダイレクトされます。 

そのページは正規のWordPressチェックアウト体験を忠実に再現しており、正確な料金内訳、VAT計算、見慣れた支払い方法のロゴが表示されます。 

被害者はクレジットカード情報の入力を促され、JavaScriptベースのフォームで情報が取得され、send_payment.phpというバックエンドスクリプトへ送信されます。 

送信されると、盗まれたカード情報は直ちに攻撃者が管理するTelegramボットへ流出し、金融情報をリアルタイムで収集できるようになります。

その後、このキャンペーンは二要素認証(2FA)資格情報を盗むための第2段階へとエスカレートします。決済情報を送信した後、被害者には標準的な銀行の認証フローを模倣した偽の3D Secure認証モーダルが表示されます。 

インターフェースには、現実味のある加盟店名、取引参照、支払い金額が表示され、正当性の錯覚を強めます。 

ユーザーは銀行から送られてくるSMSのワンタイムパスワードの入力を求められますが、OTPが有効かどうかに関わらず、システムは常に「認証に失敗しました」というメッセージを返します。

この強制的な再試行動作により、攻撃者は1人の被害者から複数の有効なOTPを収集できます。 

入力された各コードは別のバックエンドエンドポイントsend_sms.phpを通じて送信され、即時利用のためTelegramチャンネルへ中継されます。 

疑念をさらに減らすため、攻撃者は意図的な処理遅延を導入しており、決済送信後に数秒の待機を入れたり、認証中に短い遅延を挟んだりします。 

これらの人工的な待ち時間は実際の決済・銀行システムに非常によく似ており、攻撃フロー全体を通じてユーザーの信頼と従順さを高めます。

ドメイン更新フィッシングへの防御

ドメイン更新や決済プロセスを狙う攻撃は、緊急性、馴染みのあるブランドへの信頼、そして認証や監視の隙を悪用するよう設計されています。 

以下の対策は、セキュリティチームが露出を減らし、不正をより早期に検知し、フィッシング成功時の影響を抑えるために取れる実践的な手順を示します。

  • メール内のリンクをクリックするのではなく、公式のWordPressまたはレジストラのダッシュボードへ直接アクセスして、管理者にすべての請求および更新アクティビティを確認させる
  • 管理・請求アカウントに対してフィッシング耐性のある多要素認証強制し、OTPの繰り返し失敗や異常な認証挙動を監視する。
  • DMARC、DKIM、SPFを強制し、新規登録または評判の低いドメインをブロックし、リンクを悪性コンテンツとしてスキャンすることで、メールおよびWebのセキュリティ制御を強化する
  • 特権アクセスを制限し、専用の支払い手段を使用し、アカウントアラートなどのレジストラレベルのセキュリティ機能を有効化することで、ドメインおよび決済管理を集約し制限する
  • 監視する ネットワーク、DNS、エンドポイントのログを、疑わしいドメイン、決済ポータル、または異常な管理者アクティビティへの接続について監視し、アラートをSIEMに統合する。
  • 管理または財務アクセスを持つスタッフ向けに対象を絞ったセキュリティ意識向上トレーニングとフィッシング演習を実施し、インシデント対応計画を定期的にテストする。

これらの手順は、フィッシングリスクを低減し、管理者アカウントが侵害された場合の影響を抑えるのに役立ちます。

フィッシングは信頼されたワークフローを悪用している

このキャンペーンは、正規の決済および認証ワークフローを精巧に模倣する、非常に現実味のある金銭目的のフィッシング攻撃へと広がる傾向を反映しています。 

単純な認証情報の入力要求に頼るのではなく、攻撃者はユーザーの警戒心を回避し、より高い効率と規模で機微データを引き出すために、信頼された請求プロセスやセキュリティ機構をますます悪用しています。 

攻撃者が従来の防御を回避するために信頼されたワークフローを悪用し続ける中、多くの組織は継続的な検証を強制し、暗黙の信頼への依存を減らすためにゼロトラストソリューションへと移行しています。

翻訳元: https://www.esecurityplanet.com/threats/wordpress-admins-targeted-by-renewal-email-phishing-scam/

ソース: esecurityplanet.com
#3Dセキュア #DMARC・DKIM・SPF #Telegram悪用 #WordPress #クレジットカード情報窃取 #ゼロトラスト #ドメイン更新 #フィッシング詐欺 #ワンタイムパスワード(OTP) #管理者アカウント

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布