セキュリティ研究者らは、わずか数か月の間に数十万人を被害に遭わせた、大規模なフィッシング・アズ・ア・サービス(PhaaS)運用の実態を明らかにした。
ノルウェーのセキュリティ企業Mnemonicによると、DarculaはiPhoneおよびAndroidユーザーを標的にしたフィッシングメッセージを送信し、ブランドを偽装してカード情報を差し出させるよう設計されている。
世界規模で活動し、配送会社などのブランドになりすましたSMS、RCS、iMessageのテキストを通じて被害者にクリックさせる。被害者は「荷物」を受け取るための配送料の支払い、道路通行料の支払いなどを求められる。
これまでの報告では、この運用が継続的に進化していることが強調されており、生成AIを用いたカスタマイズ型スミッシング(SMSフィッシング)キャンペーンの作成といった新機能に加え、アンチ・フォレンジック機能も含まれるようになっている。
PhaaSについて詳しく読む:英警察が100万ポンド規模のフィッシング・アズ・ア・サービスサイト「LabHost」の妨害を主導
しかしMnemonicは、リバースエンジニアリング手法を用いて、この運用の「中核」を突き止めた。強力なツールキットで、「Magic Cat」と名付けられている。
ノルウェーの放送局NRKとの共同調査により、彼らはこのパッケージが中国・河南省の24歳の人物に行き着くことを突き止めた。
推定600のサイバー犯罪グループがこのインフラを利用しており、その大半は閉鎖的なTelegramグループ内で活動し、到達範囲を広げるためにSIMファームを用い、盗まれた情報を処理するためにカード端末を使用している。多くは中国語を母語とする者のようだ。
研究者らは、2023年から2024年にかけての7か月間だけで、約88万4,000枚のカードがこの方法で侵害されたと主張している。
Magic Catを探る
Mnemonicは、Magic Catは非技術者の購入者がスミッシングキャンペーンを拡大できるよう開発された、多機能なツールキットだと説明した。
「当時、これは世界各国で数百のブランドになりすますための、すぐに使えるサポートを含んでいました。最近のプラットフォーム更新により、カスタムのブランドテンプレート作成が運用者にとってさらに使いやすくなったと報告されています」と同社は述べた。
「Magic Catはまた、被害者が入力したデータをリアルタイムで運用者にストリーミングし、フィッシングサイトに入力されたデータを1文字ずつ確認できるようにしました。さらに、運用者がPINコードをリアルタイムで要求できるほか、SMSゲートウェイへの容易な統合など、他にも多くの機能があります。」
複数の法域における法執行当局には通知済みである。
翻訳元: https://www.infosecurity-magazine.com/news/darcula-phishing-as-a-service/
