GTFireという名前の高度なフィッシング キャンペーンが発見され、FirebaseやGoogle Translateなどの正当なGoogleサービスを悪用してセキュリティ防御を回避し、ユーザーの認証情報を収集しています。
GTFireスキームはGoogleが所有するインフラストラクチャを使用して偽のログインページをホストし、悪質なURLを偽装し、攻撃者が検出を回避しながら世界中の組織に侵入することを容易にします。検出を回避
このブログでは、GTFireフィッシング キャンペーンの技術的詳細、その世界的な影響、および防御に関する推奨事項を紹介します。
GTFireフィッシング スキームは、Google FirebaseやGoogle Translateなどの広く信頼されているサービスの創造的な使用が注目に値します。
Firebaseは、.web.appドメイン下の動的に生成されたサブドメインにフィッシングページをホストするために活用されており、これらは正当な開発者によって信頼され、頻繁に使用されています。
攻撃者はこの信頼を悪用して、対象の組織のロゴとブランディングを含む実際のログイン画面を模倣するフィッシング ページを配布します。
Google Translateはプロキシとして機能し、フィッシング リンクの実際の宛先を偽装します。Google Translateのウェブサイト翻訳機能を使用することで、攻撃者はフィッシングURLを正当なGoogleドメイン(translate.goog)内に隠蔽でき、ほとんどのセキュリティフィルターをバイパスできます。この複数ステップのリダイレクションにより、メールおよびウェブセキュリティシステムがフィッシングURLの悪質なアクティビティにフラグを付けるのが難しくなります。被害者がフィッシング リンクをクリックすると、Firebaseでホストされている実際の悪質なページに到着する前に、一連の仲介ステップを通じてリダイレクトされます。
フィッシング ページに到達すると、被害者はユーザー名とパスワードを入力するように促されます。攻撃者は、データ流出の成功の可能性を最大化するために、複数ステップの認証情報収集プロセスを使用します。
被害者の認証情報が正しくない場合、それらを再入力するよう促されます。これは攻撃者が有効なログイン情報を収集するもう1つの機会です。
盗まれた認証情報は、HTTP GETリクエスト経由で攻撃者が制御するコマンド&コントロール(C2)サーバーに送信され、そこでBase64でエンコードされ、被害者のメールアドレス、出身国、ブラウザ言語などの追加メタデータが含まれます。
この収集されたデータはその後C2サーバーで整理・保存され、情報は日付、対象ブランド、言語によって分割され、高度に組織化された運用アプローチを示しています。
これらの事前にパッケージ化されたスクリプトのモジュラーな性質により、攻撃者は各ターゲット用にカスタム開発を必要とせず、操作を迅速にスケールアップできます。
この種の高度なフィッシング攻撃から防御するために、組織は認証情報が侵害されても不正アクセスを防ぐために、フィッシング耐性のある多要素認証(MFA)の実装を検討すべきです。
従業員は、特にGoogle FirebaseやGoogle Translateなどの正当なサービスを利用するフィッシングのリスクについて教育を受ける必要があります。
セキュリティチームは、信頼できるクラウドプラットフォーム上でのブランド詐称を監視し、’translate.goog’またはweb.appを含む異常なURLパターンを探す必要があります。
セキュリティツールは、特にGoogleが所有するインフラストラクチャに関連するものを含む、疑わしいリダイレクトにフラグを付けるように構成する必要があり、組織はフィッシング試行に関連する異常なログイン動作を検出するための監視を配置する必要があります。
GTFireフィッシング キャンペーンは、サイバーセキュリティにおける従来の信頼モデルを再考する必要性を強調しています。広く信頼されているサービスを悪用することで、攻撃者は検出を回避し、最小限のオーバーヘッドで大規模な認証情報収集を実施できます。
フィッシング技術のこの進化は、組織が防御を適応させ、強化する必要がある継続的なニーズを強調しています。
翻訳元: https://cyberpress.org/gtfire-phishing-steals-credentials/