ATHRと呼ばれる新しいサイバー犯罪プラットフォームは、ソーシャルエンジニアリングフェーズに人間のオペレーターとAIエージェントの両方を使用する完全自動化された音声フィッシング攻撃を通じて認証情報を盗むことができます。
この悪意のある操作は地下フォーラムで4,000ドルと利益の10%のコミッションで宣伝されており、Google、Microsoft、Coinbaseを含む複数のサービスのログインデータを盗むことができます。
自動化はメール経由でのターゲット勧誘から音声ベースのソーシャルエンジニアリング、アカウント認証情報の収集まで、電話指向型攻撃配信(TOAD)のすべてのステージをカバーしています。
ATHR攻撃チェーン
クラウドメールセキュリティ企業Abnormalのセキュリティ研究者によると、ATHRはブランド固有のメールテンプレート、ターゲット別のカスタマイズ、およびメッセージが信頼できる送信者から発信されたように見せるなりすまし機構を提供する完全なフィッシング/ビッシング攻撃生成プラットフォームです。
分析時に、研究者はATHRが8つのオンラインサービスをサポートしていることを確認しました。それはGoogle、Microsoft、Coinbase、Binance、Gemini、Crypto.com、Yahoo、およびAOLです。
攻撃は被害者が簡単な検証のみならず技術的な認証チェックもパスするように作成されたメールを受け取ることから始まります。
「おとりメールは通常、偽のセキュリティアラートまたはアカウント通知です。十分に緊急で電話をかけるように促しますが、コンテンツベースのフィルターをトリガーするのに十分な一般的なものです」とAbnormalは本日のレポートで述べています。
メール内の電話番号に電話をかけると、被害者はAsteriskとWebRTCを通じてルーティングされ、慎重に作られたプロンプトで駆動されるAIボイスエージェントが被害者をデータ盗難プロセスを通じてガイドします。
エージェントはセキュリティインシデントをシミュレートするマルチステップスクリプトに従います。Googleアカウントの場合、アカウント回復と検証プロセスを複製し、プロフェッショナルなサポートスタッフを模倣するためにトーン、アプローチ、ペルソナ、および動作を形成するプリセットプロンプトを使用します。
偽の回復プロセスの目的は、攻撃者が被害者のアカウントにアクセスできるようにする6桁の確認コードを抽出することです。
ATHRは通話を人間のオペレーターにルーティングするオプションを提供していますが、AIエージェントを使用する能力がそれを際立たせています。
ATHRのダッシュボードは、オペレーターに全体的なプロセスと各攻撃ターゲットごとのリアルタイムデータを制御できるようにします。
ATHRパネルを通じて、彼らはメール配信を制御し、通話を処理し、フィッシング操作を管理し、リアルタイムで結果を監視し、盗まれたデータを含むログを受け取ります。
Abnormalのセキュリティ研究者は、ATHRがオペレーターの手動作業を大幅に削減し、個別のコンポーネントを設定する必要なくTOAD攻撃のすべてのステージを処理できる統合プラットフォームを脅威アクターに提供すると警告しています。
これにより、インフラストラクチャのない技術が低い攻撃者が自動ビッシング攻撃を最初から最後まで展開することが可能になります。
「断片化された手動集約的な操作から製品化された大部分自動化されたものへのシフトは、TOAD攻撃がもはや大規模なチームまたは特別なインフラストラクチャを必要としないことを意味します」とAbnormalは警告しています。
ATHR様のサイバー犯罪プラットフォームの増加により、研究者はビッシング攻撃がより頻繁になり、正当な通信と区別するのがより難しくなることを予想しています。
そのような攻撃に対する防御には異なるアプローチが必要です。おとりメールは信頼できる指標を何も保有していないため、正しく認証するようにカスタマイズされ、有効な通知として表示されるからです。
ただし、送信者と受信者の間の通信行動パターンをチェックし、短時間枠内に電話番号を含む同様のおとりメールが組織に到達したかどうかを識別することによって、検出は可能です。
Abnormalの研究者は、組織全体の通常の通信動作をモデル化することで、AIを使用した検出がターゲットが通話をかける前に異常にフラグを立てるのに役立つと述べています。
