2020/11/23

詐欺師のログを発見した最近のフィッシング調査

2020 年 11 月 23 日 Trevor Collins 著

11 月の第 1 週、世界中に展開されている Firebox セキュリティアプライアンスのオプトインレポートに基づく脅威インテリジェンスフィード Firebox Feed で、マルウェアファミリーの Phishing.ADA の報告が増加しています。このフィッシングメールは主に東南アジアのユーザをターゲットとし、メールの認証情報を盗み出すことを目的としています。ウォッチガードはこのマルウェアの検体とメールを取得し、調査しました。

このメールは Payment@hsbc.com.hk から送信されたと記載がありますが、メールのヘッダをさらに調べると、送信元は mail[.]stavebni-centrum[..]cz であることがわかります。mail[.]stavebni-centrum[.]cz は、以前のヘッダを削除し、本当の送信元を隠している可能性があります。

Received: from mail.stavebni-centrum.cz ([193.165.139.238])

ヘッダの TLD(トップレベルドメイン)と IP アドレスは、送信者がこのメールを、「From」にある TLD である香港の IP ではなく、チェコ共和国から送信、またはルーティングしていることを示しています。

メール本文では、添付の「payment e-Advice」を閲覧するよう要求していますが、実際の添付ファイルは Web ページにつながる HTML ファイルです。また、メールにはランダムな文字列が含まれていますが、これは送信者がスパムフィルタを回避するために入れたものと思われます。最後に、ヘッダにある送信日は 2020 年 8 月 20 日であるにもかかわらず、著作権の日付は 2005 年となっています。

メールの確認を終えて添付ファイルを開いてみると、簡素なログイン画面と、背景がぼやけた Excel 文書のようなものが表示されました。認証情報を入力してもドキュメントは開かず、過去にセキュリティが侵害されたことのあるドメイン tj[.]teamkdhomes[..]com/me/document[…]php に認証情報が送信されます。この Web ページをたどると 404 エラーが発生しますが、Google キャッシュ版のサイトでは、メールアドレス、パスワード、IP アドレス、ホスト名、国名が特定される可能性のあるテストのログが表示されます。以下のサイトを訪れる際は十分にご注意ください。
http://webcache.googleusercontent.com/search?q=cache:e-i1naZ6cJwJ:tj.teamkdhomes.com/myhotmail/logs.txt+&cd=13&hl=en&ct=clnk&gl=us

==================+[ YH LOGS ]+==================
Email Address : [[-Email-]]
Password : trfghjbhg
Client IP : 41.58.106.92
HostName : 41.58.106.92
Country Name: Nigeria
=============+ [ 2K17 ] +=============

==================+[ YH LOGS ]+==================
Email Address :
Password :
Client IP : 52.114.128.37
HostName : 52.114.128.37
Country Name: United States
=============+ [ 2K17 ] +=============

攻撃者が送信する中で最も簡単なフィッシングメールの一つは、通常、文書にアクセスするためのログインを促すものです。詐欺師は、毎日このようなメールを複数作成し、何千通も送信することが可能です。これらの内の数回が成功するだけで十分な成果になります。フィッシングに引っかかった場合は、高い確率でメールアカウントにアクセスできなくなります。企業やその他のログインに同じメールアドレスを紐付けている場合は、そちらのアカウントにもアクセスできなくなる可能性が高いでしょう。メールの送信者が次に何をするかは、目的にもよりますが、ランサムウェアやリモートアクセスのトロイの木馬をコンピュータにインストールしようとする可能性が高いでしょう。企業のアカウントにアクセスされ、さらに追加の保護がない場合は、企業のコンピュータにランサムウェアがインストールされる可能性が高いです。

当ブログをご覧になっている方であれば、不審な点には気づくと思われますが、必ずしもそうでないかもしれません。メールの中に今回紹介したようなミスがなく、さらにたまたま銀行からのメールを待っていたような場合、フィッシングに引っかかる可能性もあります。優れたマルウェアブロッカーはほとんどのフィッシングメールをブロックします。また、tj[.]teamkdhomes[..]com のようなドメインをブロックするために DNS ベースの保護機能を使用することもお勧めします。そして何よりも、受信したメールにフィッシングの兆候がないか、注意深く確認することが重要です。