TokyoBlackHatNews

gbhackers.com 4分で読了

ベトナムのサイバー犯罪グループが大規模な詐欺的な不正登録を可能にしている

ベトナムを拠点とするサイバー犯罪エコシステムへの詐欺的なアカウント登録の波。

これらの偽のアカウントは単なるスパムではなく、大規模な金融詐欺、フィッシング、および対人詐欺を支えており、オンラインプラットフォームへの信頼を損なっています。

攻撃者は被害者サービスで大量の「ぬいぐるみ」サインアップをスクリプト化し、プレミアムレート番号へのSMSメッセージをトリガーし、その後通信料金を現金化しました。これは、SMSをアカウント検証やMFAコードに使用する組織にとって特に費用がかかります。

2025年後半、OktaはO-UNC-036と呼ばれるクラスターを追跡した使い捨てメールドメインを悪用してSMSポンピング(International Revenue Sharing Fraud(IRSF)としても知られている)を実行していました。

この調査中、OktaはO-UNC-036からベトナムでホストされている数十の「サイバー犯罪サービス」(CaaS)ウェブサイトへのリンクを発見しました。

大規模なデジタル詐欺操作

これらのサイトは、乗っ取られたまたは自動的に作成されたアカウント、自動化インフラストラクチャ、および検出回避ツールを販売し、潜在的な詐欺師の技術的障壁を低下させています。

詐欺活動に対する私たちの洞察は、O-UNC-036で使用される使い捨てメールドメインのセットから始まりました。

Image

Via17[.]comなどのマーケットプレイスは、ベトナムのFacebookプロフィール(友人を含む)や二要素認証が有効になったものを含めて、大規模にソーシャルメディアアカウントを転売しています。各数ドル程度です。

詐欺的なアカウントは、スパム、フィッシング、レビュー操作、コンサートチケットなどの限定製品のスナイピング、および無料トライアルの悪用に再利用され、対象プラットフォーム上でユーザー体験を継続的に低下させます。

核となる有効化要因は、MMO(「Make Money Online」)ウェブデザインエコシステムであり、デジタルアカウントショップとソーシャルメディアブーストサービス用のテンプレートを販売するベトナムベースの企業CMSNT[.]coを中心としています。

テンプレートは通常、電子メールプロバイダー、ゲーミングプラットフォーム、ソーシャルネットワーク、さらにはAIツール全体のアカウント在庫を宣伝しており、ソーシャルメディアマーケティングパネルテンプレートはパスワードなしで実際のユーザー動作をシミュレートするために「AI技術」を使用すると主張しています。

Via17[.]comは、一部の偽のアカウント提供の一部としてセッショントークン(「Cookie」とも呼ばれる)を販売しています。

Image

CMSNT[.]co自体は盗まれたアカウントを販売することが証明されていませんが、そのテンプレートのリークされたソースコードは、違法なマーケットプレイスを運営するために第三者によって再利用されています。

使い捨てメールとセッショントークン

Oktaの分析によると、一部のアカウントはブルートフォース攻撃から、または感染したデバイスから認証情報、カードデータ、および暗号ウォレットをキャプチャするinfostealerマルウェアによって盗まれたログから来ているようです。

サイトのフロントページのセクションは、mailclone[.]siteと呼ばれるサービスの使い捨てメールアドレスにリンクされているタイまたは「外国」の名前を持つFacebookアカウントを宣伝しています。

Image

Via17[.]comおよび同様のショップは、認証情報をリカバリメールアドレス、2FAアクセス、および実際のパスワードを知らずにセッションをハイジャックするのを許可するセッショントークン(「Cookie」)とバンドルしています。

mailclone[.]siteおよびtemp-mail[.]ioなどの使い捨てメールサービスは、登録のスケーリングに重要な役割を果たし、確認コードを受け取るのに十分な期間だけ存在する短命のインボックスを提供しています。

Oktaはそのようなドメインのクラスターからのサインアップで疑わしいスパイクを観察し、次にそれらをベトナムでホストされたストアフロントのネットワークにトレースバックしてアカウントと自動化を販売していました。

防衛者にとって、詐欺的な登録をブロックするには、一部の顧客が正当にメールマスキングまたは転送に依存していることを認識しながら、セキュリティとユーザーの摩擦のバランスを取る必要があります。

Oktaは、IP評判、行動分析、使い捨てドメインブロックリスト、および自動ワークフローを組み合わせて、偽のアカウントの大量バッチを武器化される前に検出および無効化することを推奨しています。

翻訳元: https://gbhackers.com/cybercrime-group-in-vietnam/

ソース: gbhackers.com
#SMSポンピング #アカウント詐欺 #インフォスティーラーマルウェア #サイバー犯罪 #フィッシング #ベトナム #不正登録 #盗まれたアカウント #詐欺的キャンペーン #認証情報盗難

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚