地下のサイバー犯罪フォーラムで提供されている新たなマルウェア・ツールキットは、フィッシングページを表示しながらもブラウザのアドレスバーを改変しないままにできると、Varonisが報告している。
Stanleyと名付けられたこのマルウェア・アズ・ア・サービス(MaaS)ツールキットは2,000〜6,000ドルで販売されており、1月12日に初めて確認された。投稿では、Googleストアの検証を回避する拡張機能を作成できると主張している。
Varonisが発見したところによると、最上位プランでは、脅威アクターにカスタマイズオプション、管理パネル、そしてChromeウェブストアへの掲載保証が提供されるという。
「その保証こそがここでの商業的な重心である。買い手から配布リスクを切り離し、売り手がGoogleの審査プロセスを通過する再現可能な手段を持っていることを示唆している」と、このサイバーセキュリティ企業は指摘する。
ウェブベースの管理インターフェースにより、犯罪者は感染ホストの一覧を確認でき、IPアドレス(識別子として使用)、オンライン状態、ブラウザ履歴の状態、最終活動タイムスタンプなどの情報が表示される。
また、オペレーターは個別の標的を選択し、正規URL(ソース)と標的/フィッシングURLを含む、特定のURLハイジャック規則をそれぞれに設定できる。
「規則は感染ごとに有効化または無効化でき、オペレーターは攻撃を段階的に準備し、必要に応じて発動できる」とVaronisは説明する。
さらに重要なのは、被害者がブラウザのアドレスバーで目にするのはアクセスしようとした正規URLである一方、実際には攻撃者が制御するコンテンツとやり取りしている点だ。
「受動的なハイジャックにとどまらず、オペレーターはリアルタイムの通知配信によって、ユーザーを標的ページへ能動的に誘導することもできる。通知はウェブサイトではなくChrome自体から送られるため、より暗黙の信頼を伴う」とVaronisは説明する。
Stanleyを用いて構築された、ミニマルなメモ取り・ブックマーク拡張機能Notelyの分析では、作成者が正当な機能を盛り込みつつ、ユーザーが訪れるウェブサイトを完全に制御するために必要な権限を要求するよう設計していたことが明らかになった。
この拡張機能には、C&C(コマンド&コントロール)サーバーへの継続的なポーリング機構が含まれ、バックアップドメインのローテーションを実装し、ウェブサイト訪問を傍受してフィッシングページを含む全画面iframeを重ねて表示する。
「ブラウザのURLバーには正規ドメイン(例:binance.com)が表示され続ける一方で、被害者は攻撃者のフィッシングページを見て操作してしまう」とVaronisは説明する。
Stanleyの価格帯は幅広いサイバー犯罪者が利用できる水準であり、Chromeウェブストアに紛れ込んだ悪意ある拡張機能は数カ月にわたり活動を続け、ひそかに認証情報を収集し得ると、このサイバーセキュリティ企業は指摘している。
翻訳元: https://www.securityweek.com/stanley-malware-toolkit-enables-phishing-via-website-spoofing/
