Lookoutはこのほど、「CryptoChameleon: New Phishing Tactics Exhibited in FCC-Targeted Attack|Lookout Threat Intelligence」において、暗号資産プラットフォームおよび米連邦通信委員会(FCC: Federal Communications Commission)を標的にする新しい高度なフィッシングキット「CryptoChameleon」を発見したと報じた。
このキットを用いることで、シングルサインオン(SSO: Single Sign On)ページのコピーの作成および、電子メール、ショートメッセージサービス(SMS: Short Message Service)、音声フィッシングを組み合わせた攻撃が可能になり、標的の認証情報を窃取できるという。
フィッシングキット「CryptoChameleon」の概要
Lookoutはこのフィッシングキットを発見したきっかけは、脅威グループ「Scattered Spider」が使用する戦術によく似た不審なドメインの登録だったという。発見されたドメインは「fcc-okta[.]com」で、これは正規のFCC Oktaシングルサインオンページと1文字だけ異なっているとのこと。
このフィッシングキットを使用して作成されたフィッシングサイトにアクセスすると、はじめにhCaptchaによる人間確認を求められる。これはセキュリティ企業による自動巡回型のフィッシングサイト検出を回避するためとされる。あわせて、被害者に「正規サイト」であるかのような錯覚を覚えさせる効果も期待されているとみられる。
hCaptchaによる人間確認をパスすると、次に標的のログインページのコピーが表示される。ログインのために認証情報を入力すると、待機画面や多要素認証(MFA: Multi-Factor Authentication)トークンの入力画面などが表示される。表示されるページは攻撃者により制御可能とされ、標的のシステムに合わせた説得力のある画面遷移を実行できるという。
攻撃者は管理コンソールからリアルタイムで状況を把握しており、標的の入力した情報を使って裏で正規サイトへのログインを試みているとみられている。
「CryptoChameleon」の影響と対策
このフィッシングキットを使用したキャンペーンでは、米連邦通信委員会(FCC)以外にも次のWebサイトを標的にしていることが確認されている。
- Binance
- Coinbase
- Gemini
- Kraken
- ShakePay
- Caleb & Brown
- Trezor
- AOL
- Gmail
- iCloud
- Okta
- Outlook
- Yahoo
Lookoutは調査の過程で攻撃者のバックエンドログへの一時的なアクセスに成功し、窃取された情報を確認している。Lookoutによると窃取された情報にはメールアドレス、パスワード、ワンタイムパスワード(OTP: One Time Password)トークン、パスワードリセットURL、運転免許証の写真などが含まれるという。また、バックエンドログから100人以上の被害者が確認されている。
フィッシングサイトへの誘導方法は、電話とテキストメッセージを組み合わせた手法を使うとみられている。ある事案において、攻撃者はサポートチームになりすまして被害者に電話し、「あなたのアカウントがハッキングされた。回復の手助けをする」と伝え、テキストメッセージからフィッシングサイトへ誘導したという。
この攻撃はScattered Spiderの戦術によく似ているとされるが、フィッシングキット内の機能と使用しているコマンド&コントロール(C2: Command and Control)インフラストラクチャが大きく異なるという。そのため、このフィッシングキットにScattered Spiderが関わっているのか、脅威グループ間で共有されているのかはわかっていない。
この攻撃では、フィッシングサイトに誘導するためにソーシャルエンジニアリング攻撃を使用する。その際に送られてくるURLは正規のものに似ているが異なっているため、冷静に確認することで攻撃を回避できる。攻撃者は常に緊迫感を作り出して被害者を焦らせようとしてくるが、メッセージのリンクにアクセスするときは必ずURLを確認することが推奨されている。