ブログ(脅威調査)

コミュニケーションのためにWOFF難読化とTelegramチャネルを利用したフィッシング・キャンペーン

FireEye Email Securityは、最近米国や欧州を中心としたさまざまなフィッシング詐欺キャンペーンを見てきましたが、これらのほとんどは侵害されたドメインや悪質なドメインのソースコードの難読化を利用していました。これらのドメインは、本物のウェブサイトを装ったり、クレジットカード・データなどの個人情報を窃取していました。その後、窃取された情報は、クロスプラットフォームのクラウドベースのインスタント・メッセージング・アプリケーションに共有されました。

この投稿では、あわただしいホリデー・シーズンにともない配送が膨大になっていることや、偽のDHL追跡ページを含むフィッシング・キャンペーンを取り上げます。発送サービスのユーザーを標的としたフィッシング攻撃は新しいものではありませんが、これらの実施例で使用されているテクニックは、既存のフィッシング・キットで見つかるものよりも複雑です。

このキャンペーンでは、WOFFベースの代替暗号、特定のターゲティングによるローカライゼーション、およびこのブログで公開しているさまざまな回避技術を使用します。

アタック・フロー

攻撃は、図1に見られるように、DHLを模倣するEメールから始まります。Eメールは、受信者にリンクをクリックさせようとしますが、偽のDHLウェブサイトに遷移します。図2では、クレジットカードの詳細を要求する偽のページが表示されます。送信されると、バックグラウンドでクレジットカードのデータが攻撃者と共有されている間、ユーザーに一般的なレスポンスが返されます。


図1:DHLフィッシングの試行


図2:DHLトラッキングを模倣する偽のウェブサイト

このDHLフィッシング・キャンペーンでは、ソース・ページを難読化するために珍しい技術を使用しています。ページのソースには、適切な文字列、有効なタグ、適切なフォーマットが含まれていますが、図3に示すように、ページをロードする前にデコードせずに意味不明なレンダリングをするようエンコードされたテキストが含まれています。通常、このようなテキストのデコードは、コード内にスクリプト関数を含めることによって行われます。ただし、この場合、デコード関数はスクリプトに含まれません。


図3:ページのソース上でエンコードされたテキストの抜粋

デコードは、Web Open Font Format(WOFF)フォント・ファイルによって行われます。これは、ブラウザでページをロードすると実行され、ページ・コンテンツ自体には表示されません。図4は、置換暗号方式とWOFFフォント・ファイルを示しています。攻撃者は、セキュリティ・ベンダーによる検知を回避するためにこれを行います。多くのセキュリティ・ベンダーは、静的または正規表現のシグネチャベースのルールを使用しているため、この方法では、未処理の条件が突破されます。


図4:WOFF置換暗号

テキストをデコードするこのカスタム・フォントのロードは、CSS(Cascading Style Sheets)内で行います。このテクニックは、従来はJavaScript関数がHTMLテキストの暗号化および復号に使用されているため、珍しいことです。


図5:WOFFフォント・ファイルをロードするためのCSSファイル

図5は、WOFFフォント・ファイルのロードに使用されるCSSファイルを示しています。同じCSSファイルstyle.cssも見てきました。以下のドメインでホストされています:

  • hxxps://www.lifepointecc[.]com/wp-content/sinin/style.css
  • hxxps://candyman-shop[.]com/auth/DHL_HOME/style.css
  • hxxps://mail.rsi-insure[.]com/vendor/ship/dhexpress/style.css
  • hxxps://www.scriptarticle[.]com/thro/HOME/style.css

これらの正規のように見えるドメインは、現時点ではフィッシング・サイトをホストしていません。かわりに、攻撃者がフィッシング・キャンペーンで使用するためのリポジトリのように見えます。過去には、金融業界を標的とした同様のフィッシング攻撃を見てきましたが、これは配送業のウェブサイトではより新しいものです。 

注目すべき技術

ローカライゼーション

フィッシング・ページには、ターゲット・ユーザーの地域に基づいたローカル言語が表示されます。ローカライゼーション・コード(図6)は、欧州とアメリカで話されているスペイン語、英語、ポルトガル語などの主要な言語をサポートしています。


図6:ローカライゼーション・コード

バックエンドには、サポートされている各言語のPHPリソース・ファイルが含まれています(図7)。これらは、ユーザーのIPアドレスの場所に基づいて動的に取得されます。


図7:言語リソース・ファイル

回避

この活動では、検知を回避するためにさまざまなテクニックを採用しています。これは、要求があるブロックされたIPアドレスから送信された場合にフィッシング・ページを提供しません。バックエンド・コード(図8)は、以下の条件下で「HTTP/1.1403Forbidden」レスポンス・ヘッダーをユーザーに提供しました:

  • IPが5回検出されました (AntiBomb_User func)
  • IPホストは回避されたホスト名('google'、'Altavista'、'Israel'、'M247'、'barracuda'、'niw.com.au'など) のリストを解決します (AntiBomb_WordBoot func)
  • IPは独自の地域ブロックリストcsv(キット内のx.csv) にあります (AntiBomb_Boot func)
  • IPがPOSTを3回検出しました (AntiBomb_Block func)


8: バックエンド回避コード

ブロックされたホストの一覧を見ると、攻撃者がウェブ・クローラをブロックしようとしていることが推測できます。

情報窃取

このフィッシング詐欺キャンペーンの背後にある攻撃者は、認証情報、クレジットカード・データなどの機密情報を窃取しようとしました。窃取された情報は、攻撃者によって制御される電子メールアドレスとTelegramチャネルに送信されます。図9に示すTelegram bot APIを使用してデータが送信されているTelegramチャネルを検出しました。


図9:チャット・ログ

窃取された機密情報を送信するためにphp mail()関数を使用することは非常に一般的ですが、最近では、Telegramなどの暗号化されたインスタント・メッセージング・アプリケーションが、フィッシングされた情報をコマンド・サーバーや制御サーバーに送り返すために使用されていました。

図10に示すように、攻撃者が制御する電文チャネルの1つにアクセスすることができました。チャットで送信される機密情報には、IPアドレスとクレジットカード・データが含まれます。


図10:窃取された情報を含むTelegramチャネル

結論

攻撃者(とくにフィッシャー)は、セキュリティ製品による検知を回避する新しい方法を探しています。難読化は攻撃者をアップデートし、セキュリティ・ベンダーがお客様を保護することを困難にします。
インスタント・メッセージング・アプリケーションを使用することで、攻撃者はリアルタイムでユーザー・データを取得し、被害者は個人情報が侵害された場合にほとんど反応することはありません。

侵害調査指標(IOC)

FAUDE (FireEye Advanced URL Detection Engine) を利用したFireEye Email Securityは、これらの種別のフィッシング脅威からお客様を保護します。フィッシングURLコンテンツの静的検査に依存する従来のフィッシング対策技術とは異なり、FAUDEは多数の人工知能 (AI)と機械学習 (ML)エンジンを使用して、これらの攻撃をより効果的に阻止します。

2020年12月から本ブログ投稿時点まで、FAUDE検知エンジンは、難読化されたソース・コードを含むDHLフィッシング・ページをホストする100以上の独自のURLを観察してきました:

  • hxxps://bit[.]ly/2KJ03RH
  • hxxps://greencannabisstore[.]com/0258/redirect-new.php
  • hxxps://directcallsolutions[.]co[.]za/CONTACT/DHL_HOME/
  • hxxps://danapluss[.]com/wp-admin/dhl/home/
  • hxxp://r.cloudcyberlink[.]digital/<path> (multiple paths using same domain)
Eメールアドレス
  • medmox2k@yandex[.]com
  • o.spammer@yandex[.]com
  • cameleonanas2@gmail[.]com
Telegram ユーザー
  • @Saitama330
  • @cameleon9
style.css
  • Md5: 83b9653d14c8f7fb95d6ed6a4a3f18eb)
  • Sha256: D79ec35dc8277aff48adaf9df3ddd5b3e18ac7013e8c374510624ae37cdfba31
font-woff2
  • MD5: b051d61b693c76f7a6a5f639177fb820
  • SHA-256: 5dd216ad75ced5dd6acfb48d1ae11ba66fb373c26da7fc5efbdad9fd1c14f6e3
ドメイン

Pradosdemojanda[.]com

global-general-trackks.supercarhiredubai[.]com

tracking-dhi.company

Tapolarivercamp[.]com

Rosariumvigil[.]com

Mydhlexpert[.]com

Autorepairbyfradel[.]com

URLs

hxxps://wantirnaosteo[.]com[.]au/logon/home/MARKET/F004f19441/11644210b.php

hxxps://ekartenerji[.]com[.]tr/wp-admin/images/dk/DHL/home.php

hxxps://aksharapratishthan[.]org/admin/imagess/F004f19441/sms1.php

hxxps://royalgateedu[.]com/wp-content/plugins/elementor/includes/libraries/infos/package/F004f19441/00951124a.php

hxxps://vandahering[.]com[.]br/htacess

hxxps://hkagc[.]com/man/age/F004f19441/11644210b.php

hxxps://fiquefitnes[s]comsaude[.]com/.well-known/MARKET/MARKET/F004f19441/11644210b.php

hxxps://juneispearlmonth[.]com/-/15454874518741212/dhl-tracking/F004f19441/00951124a.php

hxxps://www.instantcopywritingscript[.]com/blog/wp-content/22/DHL/MARKET

hxxps://isss[.]sjs[.]org[.]hk/wp-admin/includes/F004f19441/11644210b.php

hxxps://www.concordceramic[.]com/fr/frais/F004f19441/11644210b.php

hxxps://infomediaoutlet[.]com/oldsite/wp-content/uploads/2017/02/MARKET/

hxxps://wema-wicie[.]pl/dh/l/en/MARKET

hxxps://www.grupoindustrialsp[.]com/DHL/MARKET/

hxxps://marrecodegoias[.]com[.]br/wp-snapshots/activat/MARKET/F004f19441/11644210b.php

hxxps://villaluna[.]de/wp-content/info/MARKET/F004f19441/11644210b.php

hxxp://sandur[.]dk/wp-content/upgrade/-/MARKET/

hxxps://chistimvse[.]com/es/dhl/MARKET/

hxxps://detmayviet[.]com/wp-includes/widgets/-/MARKET/F004f19441/11644210b.php

hxxps://dartebreakfast[.]com/wp-content/plugins/dhl-espress/MARKET/

hxxps://genesisdistributors[.]com/-/Tracking/dhl/Tracking/dhl-tracking/F004f19441/00951124a.php

hxxps://www.goldstartechs[.]com/wp-admin/js/widgets/102/F004f19441/11644210b.php

hxxps://universalpublicschooltalwandisabo[.]com/DHL

hxxps://intranet[.]prorim[.]org[.]br/info/MARKET/F004f19441/11644210b.php

hxxps://administrativos[.]cl/mail.php

hxxps://nataliadurandpsicologa[.]com[.]br/upgrade/MARKET/F004f19441/11644210b.php

hxxps://tanaxinvest[.]com/en/dhl/MARKET/

hxxps://deepbluedivecenter[.]com/clear/item/

hxxps://keystolivingafulfilledlife[.]com/wp-admin/includes/daspoe99i3mdef/DOCUNTRITING

hxxps://juneispearlmonth[.]com/-/15454874518741212/dhl-tracking/F004f19441/00951124a.php

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:January 26, 2020 「Phishing Campaign Leverages WOFF Obfuscation and Telegram Channels for Communication