新たなEvilProxyによるフィッシング攻撃が、求人検索プラットフォームIndeedを狙い、さまざまな業界の経営幹部に焦点を当てている。
サイバーセキュリティ研究チームのMenlo Labsは、火曜日に公開したアドバイザリでこの発見を明らかにし、7月に始まり2023年8月まで継続したキャンペーンの複雑な仕組みを解き明かした。
この高度な攻撃では、リバースプロキシとして機能する「EvilProxy」と呼ばれるフィッシングキットが利用され、ユーザーと正規サイト間のリクエストを傍受できるようになっていた。
特筆すべき点として、EvilProxyはセッションCookieを収集できる能力を示し、多要素認証(MFA)を回避できる状態にしていた。
この悪意あるキャンペーンの主な標的は米国に拠点を置く組織であるとみられ、攻撃者はIndeed.com上のオープンリダイレクト脆弱性を巧妙に悪用していた。
調査では、銀行・金融サービス、保険、プロパティマネジメントおよび不動産、製造業といった分野において、特にC-suiteを含む経営幹部に重点が置かれていたことが明らかになった。
攻撃者の感染ベクターは、欺瞞的なリンクを含むフィッシングメールだった。これらのリンクをクリックすると、被害者は偽のMicrosoft Onlineログインページへ誘導された。調査は、URLScan、Phishtank、VirusTotalのフィードから収集したデータの分析により実施された。
この発見は、オープンリダイレクト脆弱性がもたらす深刻な脅威を浮き彫りにしている。ユーザーはIndeed.comのような信頼できる送信元に誘導されていると信じ込まされるが、実際にはフィッシングページに到達してしまう。
リバースプロキシとして動作するEvilProxyは攻撃チェーンにおいて重要な役割を果たし、脅威アクターがセッションCookieを盗み取り、MFAを実質的に回避できるようにした。
EvilProxyフィッシング攻撃を阻止する方法
これらの調査結果を受け、Menlo Labsは以下を含む複数の防御策を講じることを推奨している。
-
ユーザー教育: 意識向上を図り、フィッシングの脅威を認識できるようユーザーを訓練する。
-
フィッシング耐性のあるMFA: FIDOベースの認証など、フィッシング耐性のある多要素認証(MFA)ソリューションを導入する。
-
対象URLの検証: 安全だと決めつけるのではなく、対象URLの正当性を確認する。
-
リアルタイム保護: ゼロアワーのフィッシング攻撃から守るため、リアルタイム保護ソリューションを導入する。
さらにMenlo Labsは、Indeed.comに対してオープンリダイレクト脆弱性を責任をもって開示し、迅速な緩和を促すために、この脅威の深刻な影響を強調した。
EvilProxy攻撃についてさらに読む: EvilProxyキャンペーンが12万通のフィッシングメールを送信
画像クレジット: dennizn / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/evilproxy-phishing-attack-strikes/
