新たに発覚したフィッシングキャンペーンが、高度なソーシャルエンジニアリング手法と、機密データを侵害するよう設計された悪意あるPDFファイルを用いて、モバイルユーザーを標的にしています。
このキャンペーンは、 米国郵便公社(USPS)になりすまし、これまでに見られなかった難読化手法を用いて悪意あるペイロードを配信します。
キャンペーンの詳細
Zimperiumの研究者によって特定されたこのキャンペーンは、SMSメッセージを使って、不審なリンクを含む悪意あるPDFファイルを拡散します。このリンクは、機密情報を収集するために作られた偽サイトへユーザーをリダイレクトします。PDFファイル自体は、ヘッダー、本文、クロスリファレンステーブル、トレーラーから成る複雑な構造を持っています。特筆すべき点として、標準の/URIタグを使用せずにクリック可能なリンクを埋め込んでおり、解析をより困難にしています。
このキャンペーンの新しい難読化手法は、記載されたURLにXObjectを挿入し、クリック可能なボタンのように見せかけるものです。この手口はChromeやmacOSのプレビューなど一部のPDFビューアでは有効ですが、他では機能しない場合があります。ユーザーが「Click Update」ボタンをクリックすると、USPSの配送問題を提示するフィッシングページへリダイレクトされます。Webページはユーザーに個人情報の入力を促し、その情報は暗号化されたうえで悪意あるコマンド&コントロール(C2)サーバーへ送信されます。
主な調査結果
- 20件を超える悪意あるPDFファイルと630のフィッシングページが発見され、大規模な作戦であることが示された
- このキャンペーンは、クリック可能な要素を隠すために複雑でこれまでに見られなかった手法を使用している
- 悪意あるインフラは50か国以上の組織に影響を及ぼす可能性がある
「[これらの数値は]、脅威アクターがモバイル端末上の公式らしい通信に対するユーザーの信頼をどのように悪用しているかを示しています」と、SlashNextのフィールドCTOであるStephen Kowski氏は述べました。
「組織には強固なメールセキュリティがある一方で、モバイル端末をめぐる財務、HR、テクノロジー各チーム間の重大な緊張関係が、保護における大きく危険なギャップを生み出しています。その結果、Webとモバイルメッセージングが主要な攻撃ベクトルになっているにもかかわらず、これらのセキュリティへの投資が不足しています。」
モバイルのフィッシングセキュリティ脅威について詳しく読む:フィッシングサイトの82%が現在モバイル端末を標的に
フィッシングへの防御方法
したがって、このキャンペーンは、特に端末上でのスキャンを含む強固なモバイル脅威防御メカニズムの必要性を浮き彫りにしています。企業は、一見無害に見えるPDFファイルを介して、データ侵害、認証情報の窃取、ワークフローの侵害といった重大なリスクに直面しています。
「組織は、このような攻撃に対抗するために多層的なセキュリティアプローチを採用しなければなりません。従業員教育はフィッシングの試みに対する認識を高めるうえで不可欠であり、送信者の詳細を確認すること、不審なリンクをクリックしないこと、USPSのWebサイトやアプリなど公式チャネルに直接アクセスして配送情報を独自に確認することをユーザーに教える必要があります」と、Keeper SecurityのCEOであるDarren Guccione氏はコメントしました。
「多要素認証(MFA)を実装することで、たとえ認証情報が侵害されても不正アクセスを防ぐための重要な障壁が追加されます。特権アクセス管理(PAM)ソリューションを備えたゼロトラスト・セキュリティフレームワークは、機密システムへのアクセスを制限し、許可されたユーザーのみが重要なデータにアクセスできるようにすることで、さらにリスクを低減します。
画像クレジット:Poetra.RH/Your Hand Please/Shutterstock
翻訳元: https://www.infosecurity-magazine.com/news/phishing-campaign-targets-mobile/
