フィッシング・アズ・ア・サービス(PhaaS)として知られるLighthouseおよびLucidは、74カ国316ブランドを標的とした17,500以上のフィッシングドメインに関連付けられています。
「フィッシング・アズ・ア・サービス(PhaaS)の導入は、最近大幅に増加しています」とNetcraftは新しいレポートで述べています。「PhaaSの運営者は、世界中の国々の何百ものブランドを模倣したテンプレートがプリインストールされたフィッシングソフトウェアに対して、月額料金を請求しています。」
Lucidは、スイスのサイバーセキュリティ企業PRODAFTによって今年4月に初めて記録され、このフィッシングキットがApple iMessageやAndroidのリッチコミュニケーションサービス(RCS)を通じてスミッシングメッセージを送信できることが詳細に説明されました。
このサービスは、中国語を話す脅威アクターであるXinXinグループ(changqixinyun)の仕業とみられており、同グループは他にもLighthouseやDarculaといったフィッシングキットを活用しています。DarculaはLARVA-246(別名X667788X0またはxxhcvv)によって開発され、Lighthouseの開発はLARVA-241(別名Lao WangまたはWang Duo Yu)に関連付けられています。
Lucid PhaaSプラットフォームは、顧客が大規模なフィッシングキャンペーンを展開できるようにし、高速道路会社、政府機関、郵便会社、金融機関など幅広い業界を標的としています。
これらの攻撃では、特定のモバイルユーザーエージェント、プロキシ国、詐欺師が設定したパスなど、さまざまな条件が組み込まれており、意図した標的だけがフィッシングURLにアクセスできるようになっています。標的以外のユーザーがURLにアクセスした場合は、一般的な偽のストアフロントが表示されます。
Netcraftによると、Lucidプラットフォームを通じてホストされたフィッシングURLは、63カ国に拠点を置く164ブランドを標的にしていることが確認されています。LighthouseのフィッシングURLは、50カ国に拠点を置く204ブランドを標的にしています。
LighthouseもLucid同様、テンプレートのカスタマイズや被害者のリアルタイム監視を提供しており、世界中の200以上のプラットフォーム向けのフィッシングテンプレートを作成できると謳っており、両者のPhaaSツールキット間で大きな重複があることを示しています。Lighthouseの価格は、1週間88ドルから年間1,588ドルまでとなっています。
「LighthouseはXinXinグループとは独立して運営されていますが、インフラや標的パターンの面でLucidと一致していることから、PhaaSエコシステム内での協力やイノベーションの広範な傾向が浮き彫りになっています」とPRODAFTは4月に指摘しています。
Lighthouseを使ったフィッシングキャンペーンでは、アルバニアの郵便サービスPosta Shqiptareを装ったURLが使用され、標的以外には同じ偽ショッピングサイトが表示されており、LucidとLighthouseの間に潜在的な関連があることが示唆されています。
「LucidとLighthouseは、これらのプラットフォームの成長と進化がいかに速く、時に対策が困難であるかを示す例です」とNetcraftの研究者Harry Everettは述べています。
この動きは、ロンドンを拠点とする同社が、フィッシング攻撃が盗まれたデータの転送にTelegramのような通信チャネルから離れつつあることを明らかにした中で起きており、もはやサイバー犯罪者にとって安全な避難所とは見なされなくなっていることを示しています。
その代わりに、脅威アクターは盗んだ認証情報の収集チャネルとしてメールに回帰しており、Netcraftは1カ月間で25%の増加を確認しています。サイバー犯罪者はまた、EmailJSのようなサービスを使って被害者からログイン情報や2要素認証(2FA)コードを収集し、自前のインフラを持つ必要をなくしています。
「この再興は、メールが連合的な性質を持つため、対策が難しいことが一因です」とセキュリティ研究者のPenn Mackintoshは述べています。「各アドレスやSMTPリレーは個別に通報しなければならず、DiscordやTelegramのような中央集権型プラットフォームとは異なります。また、利便性の問題もあります。使い捨てメールアドレスの作成は依然として迅速、匿名、ほぼ無料です。」
また、最近では日本語のひらがな「ん」を使い、正規のウェブサイトURLとほぼ見分けがつかない偽サイトを作り出すホモグリフ攻撃による新たな類似ドメインの出現も確認されています。この手法を用いた偽ドメインは少なくとも600件が確認されており、暗号資産ユーザーを標的とした攻撃で、最も早い記録は2024年11月25日に遡ります。
これらのページは、Chromeウェブストア上の正規のブラウザ拡張機能を装い、Phantom、Rabby、OKX、Coinbase、MetaMask、Exodus、PancakeSwap、Bitget、Trustなどの偽ウォレットアプリをインストールさせ、システム情報やシードフレーズを収集して攻撃者にウォレットの完全な制御権を与えます。
「一見すると、これはスラッシュ(’/’)のように見えることを意図しています」とNetcraftは述べています。「そして、それがドメイン名に組み込まれると、いかに説得力を持つかがよく分かります。そのわずかな置き換えだけで、フィッシングサイトのドメインが本物のように見えるのです。これが、ログイン情報や個人情報の窃取、マルウェア配布を狙う脅威アクターの目的です。」
ここ数カ月では、デルタ航空、AMCシアターズ、ユニバーサル・スタジオ、エピック・レコードなど米国企業のブランドアイデンティティが悪用され、フライト予約代理人として働くなど一連のタスクを完了することで報酬が得られると称する詐欺にも利用されています。
この詐欺のカラクリは、参加希望者に最低100ドル相当の暗号資産をアカウントに入金するよう求めることで、脅威アクターが不正利益を得る仕組みになっています。
このタスク詐欺は「機会主義的なアクターがAPI駆動のブランドなりすましテンプレートを武器化し、複数の業種にわたって金銭目的の詐欺を拡大していることを示しています」とNetcraftの研究者Rob Duncanは述べています。
翻訳元: https://thehackernews.com/2025/09/17500-phishing-domains-target-316.html