「サイバー犯罪者は詐欺を産業化している」：主要なグローバルサイバー犯罪シンジケートの方法を明らかにする新レポート…

FCKeditorはメンテナンスされなくなっているが、多くの重要なウェブサイトは依然としてそれを積極的に使用しており、サイバー犯罪者によって狩り尽くされている。2024年2月、TechRadarが報告したように、「数十の教育ウェブサイト」がこの方法で悪用されて検索エンジンの結果を汚染し、フィッシングサイトを被害者に提供し、あらゆる種類の詐欺活動に従事していた。

当時、セキュリティ研究者の別名@g0njxaがMIT、コロンビア大学、バルセロナ大学、オーバーン大学、ワシントン大学、パデュー大学、トゥレーン大学、エクアドル中央大学、およびハワイ大学のウェブサイトがすべて標的にされていることを発見した。大学サイト以外にも、このキャンペーンはバージニア州政府、テキサス州オースティン、スペイン政府のウェブサイト、およびイエロー・ページ・カナダなどの政府および企業のウェブサイトも標的にしていた。

FCKeditorはメンテナンスされなくなっており、CVE-2009-2265に脆弱であり、リモート攻撃者が任意のディレクトリに実行可能ファイルを作成できるようにするディレクトリトラバーサルフローのグループである。NordVPNとTechRadarによると、脅威アクターは最近この欠陥を使用して、政府、公共、企業のウェブサイト、高価値ブランド、および研究機関を含む1,300以上の高価値ドメインを侵害している。

サイトを乗っ取った後、詐欺師はそれらをマルウェアを配布したり、トラフィックを偽の電子商取引サイトやフィッシングページにリダイレクトしたりするための足がかりとして使用する。

暗号資産フィッシング

2番目の脅威は、人々に不正な支払いをさせるようにだまして、「非常に組織的な」フィッシング詐欺キャンペーンである。取引所の新しいウォレットへの大規模な暗号資産デポジット（通常は15ビットコイン）について被害者に警告するメールで始まる。被害者には、使用した場合、「資金」を表示する偽のウォレットまたは取引所のウェブサイトに導くリンクとログイン認証情報が与えられる。

その後、被害者は暗号資産を引き出すために「ガス代」（取引費用）または「税金」を支払うようにだまされる。彼らがこの方法で与えるお金は、その後攻撃者に失われ、おそらく永遠に失われる。

NordVPNの調査では、このキャンペーンで使用されている100以上のアクティブなドメインが明らかになった。

「これはエリートレベルのソーシャルエンジニアリングです」と、NordVPNの製品ディレクターであるドミニンカス・ビルビッカスは述べた。「犯罪者は暗号資産の魅力と混乱を利用して、古い詐欺を新しいデジタル形式で再発明しています。」

数百の偽の電子商取引サイト

3番目のキャンペーンはさらに大きく、ファッションから自動車、健康製品まで、あらゆる種類のカテゴリーで800以上の不正な電子商取引ドメインがある。

単一の中国語話者の脅威アクターに遡る、ネットワークはWordPress、WooCommerce、およびElementorを使用して構築されており、期限付き、本当とは思えないオファーを提供している。被害者は、この生涯に一度の機会を逃さないようにしたいので、警戒心を下げ、結局支払ったものを決して受け取らずに支払いをしてしまう。

「これらの「ショップ」は現実的でないオファーで被害者を誘い込み、緊急性を作り出し、消費者の懐疑心を回避しています。中国起源の指標には、翻訳されていない中国語の文字やネットワーク全体にわたるローカライズされたファイルアーティファクトが含まれます。NordVPNはサイトを共有デジタル指紋でリンクし、レジストラSpaceship, Inc.の下での一貫したホスティングを発見しました。」とドミニンカス・ビルビッカスは述べた。

「このネットワークはオンライン詐欺の産業化を示しています」とビルビッカスは付け加えた。「自動化とテンプレートベースのサイト作成により、単一のアクターが正当なオンライン小売を模倣する詐欺的なエコシステム全体を管理することが可能になりました。」