GTFire は、複数のGoogleサービスを悪用して悪意あるインフラを隠蔽し、セキュリティツールを回避し、世界中の組織から認証情報を盗むための大規模フィッシング詐欺です。
GTFire は認証情報を盗む操作であり、Google Firebase ホスティングとGoogle翻訳をチェーンして、正当なブランドログインのように見えるフィッシングページを配信しています。
攻撃者はFirebaseの.web.appドメイン上に偽のログインポータルをホストし、それらをtranslate.googリンク内でラップしており、Googleの信頼できる評判から利益を得て、多くの場合、メールおよびウェブフィルターを通り抜けます。
公開されたコマンド&コントロールインフラストラクチャの分析によると、100以上の国と200以上の業界の1,000以上の組織に関連した120以上のユニークなフィッシングドメインと盗まれた認証情報が存在します。
GTFire フィッシングキャンペーン
GTFireインフラストラクチャにリンクされたテレメトリーは、グローバルな被害者ベースを指し、メキシコ、米国、スペイン、インド、アルゼンチンが最も影響を受けた国です。
Group-IBは当社の脅威インテリジェンスポータルにアクセスして、GTFireの脅威アクターとフィッシング詐欺に関する詳細情報を取得してください。
被害者は製造、教育、政府、その他幅広い業界にわたり、キャンペーンの機会主義的でボリューム駆動のターゲティング戦略を強調しています。
公開されたあるデータセットでは、メキシコだけで385の被害者を占め、その後米国で101人、スペインで67人、インドで54人、アルゼンチンで50人が続き、特定の地理的地域に対して焦点を絞った波を示唆しています。
GTFire は Firebase の無料の *.web.app ホスティングを利用して、ランダムに生成されたサブドメインを使用してフィッシングページを素早く立ち上げ、ローテーションさせ、コストを削減し、ドメインベースのブロックを複雑にしています。
これらのページは、オンデマンドでブランド固有のテンプレートを読み込み、同じフィッシングフレームワークを再利用しながら、ロゴとマイナーなアセットを交換して、最小限の努力で複数のサービスになりすまします。
同時に、Google翻訳は「ウェブサイト」モードで悪用されます。被害者は、基礎となるフィッシングサイトをプロキシし、真の宛先をマスクし、Firebase ドメインの露出をリダイレクトチェーンの後期まで遅延させる translate.goog URL を受け取ります。
リダイレクト、難読化、および情報収集
リダイレクトフローは通常、translate.goog リンクで始まり、中間的な翻訳または IDN/Punycode ドメインを通過してから、最終的な Firebase フィッシングページに解決されます。
Google翻訳のウェブサイト機能。完全なウェブサイトURL(この場合、group-ib.com)が別の言語(スペイン語)への自動翻訳のために送信されます。
URLパラメータには、被害者のメールアドレス、言語設定、およびブランド識別子をエンコードする単一または二重のBase64エンコードされたデータが含まれることが多く、静的分析およびシグネチャベースの検出を妨げます。
偽のログインページに移動すると、ユーザーはその認証情報を2回入力するよう促され、試行間に偽の「パスワード間違い」エラーが表示され、被害者を実際のブランドサイトにリダイレクトして疑いを減らす前に、両方の送信がサイレントに漏出します。
盗まれたデータは、商用「オールインワン」PHPフィッシングスクリプトを実行するLiteSpeed WebサーバベースのC2ホストへのシンプルなHTTP GETリクエストを介して送信され、収集を一元化し、操作を高度に自動化およびスケーラブルにします。
これらのサーバで観察されたディレクトリリストは、日付、言語、対象サービス別に整理された認証情報を示し、アカウント引き継ぎ、再販、および二次詐欺を目的とした成熟したワークフローを示唆しています。
ディフェンダーは、Firebase サブドメイン生成、translate.goog リダイレクトチェーン、Base64 ヘビー URL パラメータ、および LiteSpeed/All-in-1 PHP エンドポイントのパターンにピボットし、これらをブランド監視とユーザー教育と組み合わせて、同様の信頼できるサービスフィッシング操作を検出および中断する必要があります。
翻訳元: https://gbhackers.com/gtfire-phishing-campaign/
