サイバー犯罪者たちは、パスワードを盗み出し、その後被害者を正規LinkedIn リダイレクトするLinkedIn 攻撃において、アドビのインフラを悪用している。
このフィッシングメールはLinkedIn 経由で送信されたように見せかけたビジネスに関する問い合わせを装っておりLinkedIn 偽の「契約書」が添付されていますLinkedIn しかし、そこにはいくつかの不審な点が見られます:
- 差出人の名前、メールアドレス、およびメールの署名が一致していません
- 差出人企業は実在しますが、米国にはありません
- 送信者名は存在しますが、その会社には所属していません
- 添付ファイルの拡張子が2つあります:
pdf.html
「LinkedInを通じて、ぜひお取引させていただきたいのですが LinkedInを通じてお取引させていただきたいです。私はバイヤーです。」
契約書(契約番号 #33110:12,000個)の署名済み原本を添付いたします。
ご連絡をお待ちしております。」
詐欺か、それとも本物か? Scam Guardが見極めます。
ファイル拡張子を二重に指定する手法は、受信者にファイルの正体を誤認させるために頻繁に用いられます。添付のHTMLファイルは高度に難読化されています。基本的には、1行のJavaScriptです。
このスクリプトでは、URLエンコーディングとBase64という2つの一般的な難読化手法が使用されています。スクリプトは、Base64でエンコードされた2つのセクションに分かれています。
添付ファイルを開くと、簡単なログインフォームが表示されます。
対象のメールアドレスは固定されており、変更や削除はできません。おそらく、一部の研究者が、受信チャネルに偽の認証情報を大量に送り込むことに何の躊躇もないためでしょう。
しかし、受信チャネルを特定する段階になって、ようやく面白くなってくる。ネットワーク分析の結果、次のURLが判明した:
https://lnkd.tt.omtrdc.net/rest/v1/delivery
このドメインはアドビが所有しており、A/Bテストプラットフォーム「Adobe Target」に関連付けられています。しかし、このキャンペーンでは、フィッシングで取得した認証情報を収集するためにAdobe Targetが使用されているわけではありません。むしろ、攻撃者はフィッシングの手口において、Adobe Targetをリダイレクト先や悪用拠点として悪用しています。おそらく、フィッシングメールに騙された被害者を追跡するために利用されているものと思われます。
結局のところ、それは対象を正規のサイトへリダイレクトします business.linkedin.com 対象者が抱いているかもしれない疑念を払拭するため。
スクリプトの難読化を解除したところ、送信された認証情報の送信先が判明しました:
総じて言えば、難解な表現が使われているとはいえ、この手法は非常に素朴で単純なものだ:
投稿先: http://a1263367.xsph.ru/taam/Ln.php
データ付き:
- AA = 固定のメールアドレス
- BB = ユーザーが入力したパスワード
あるサーバーにホストされているPHPファイル .ru このドメインLinkedInリダイレクトを処理するため、被害者はログインに成功したと錯覚してしまう。
安全に過ごすには
良いニュース:何に注意すべきかさえ分かれば、こうした攻撃ははるかに見つけやすく、防ぎやすくなります。悪いニュース:こうした攻撃はコストが安く、大規模に展開でき、今後も蔓延し続ける可能性が高いということです。
ですから、次にブラウザで「PDF」ファイルが開こうとしてパスワードの入力を求められたときは、ひと呼吸置いて、その裏に何が隠されているのか考えてみてください。
迷惑な添付ファイルを避ける以外にも、安全を確保する方法はいくつかあります:
- アカウントには、公式アプリを通じて、またはブラウザに公式ウェブサイトを直接入力してのみアクセスしてください。
- ファイルの拡張子を注意深く確認してください。見た目がPDFのように見えても、実際はPDFではない可能性があります。
- 重要なアカウントで多要素認証を有効にしてください。
- 最新のリアルタイムマルウェア対策ソリューションを、ウェブ保護モジュールと共に使用してください。
プロのアドバイス:Malwarebytes Guardはこのメールを詐欺メールと認識しました。
詐欺師はあなたの端末をハッキングする必要はありません。あなたが一度クリックするだけでいいのです。
Malwarebytes Identity Theft 、不審な動きが問題となる前に検知します。
