AhnLab Security Emergency response Center (ASEC)は最近、電子メールの添付ファイルを通じて PDF ドキュメントビューアー画面に偽装したフィッシングスクリプトファイルが多数拡散している状況を確認した。確認された一部のファイル名は以下の通りであり、購入注文書(PO、Purchase Order)/注文/領収証/発注書等のキーワードを利用している。
| New order_20230831.html | Salbo_PO_20230823.pdf.html |
| WoonggiOrder-230731.pdf.html | PO_BG20231608-019.html |
| ○○○ Pharma.pdf.html | DH○_BILL_LADING_DOCUMENT_RECEIPT.html |
| _○○○化粧品_から発注書が発送されました_.msg (電子メール) | BL_148200078498.html |
| En○○○ Purchase Order.html | Sung○○ BioX_New PO.pdf.html |
以下の[図1]のようにドキュメントの内容がぼかし処理された画像が背景に使われており、添付ファイルの HTML ファイルを開くと「ドキュメントを表示するには電子メールアカウントのパスワードでログインしてください」という誘導メッセージを確認することができる。パスワード入力欄の下には「正しくないパスワードを使用するとファイルにアクセスできない」というメッセージも表示されており、実際の PDF ドキュメントであるかのように精巧に作られているため、ユーザーは特に注意が必要である。
[図1] 添付ファイルを開くと確認できるログイン誘導画面
ログイン試行時のパスワード入力回数によって、表示されるメッセージを区別していることからも、ユーザーを欺くために比較的精巧に作られたファイルであることがわかる。パスワード欄に何も入力せずにログインボタンをクリックした場合と、値を入力してからログインボタンをクリックした回数(1~3回)によって状況を区別しているのである。値を入力せずにログインボタンをクリックすると「一致するログイン情報が見つかりません」の案内メッセージが確認できる。さらに値を入力してからログインボタンを1回クリックすると「パスワードを正確に入力してください。」そして2回クリックすると「入力した電子メールパスワードが正しくありません。」の案内メッセージが確認できる。
[図2] パスワード入力回数によって表示が異なるメッセージ(赤文字)
注目すべき点は、ログイン試行を3回行うと韓国国内の ERP 専門企業が外部に公開提供している広報用 PDF ダウンロード Web サイトに接続されるのだが、これは一般ユーザーがフィッシングファイルであることに気づかないよう、外部に公開された正常な PDF ファイルを活用したものである。このサイトだけでなく、不正な機能が含まれていない正常な画像ファイルが存在するサイト([図4])にリダイレクトするスクリプトも確認されている。
[図3] 外部に公開されている正常なサイト(正常な PDF)にリダイレクトされた画面
[図4] Decoy 画像をアップロードしたサイトにリダイレクトされた画面
[図5] ログイン回数によって複数の状況を区別している HTML コード
上記の[図5]のスクリプトコードにおいて、#password__empty (空欄でログイン試行した場合) / #password__incorrect (ログイン試行回数1回) / #password__incorrect1 (ログイン試行回数2回)を通じて、ログイン試行回数によって画面に表示されるテキストを区分していることが確認でき、click イベントが3回発生すると window.location.href パラメータを利用して正常な PDF ファイルが存在する URL に遷移させる内容も確認できる。(赤枠内)
[図6] Telegram によってユーザー情報を流出させる機能の sendTeleMsg 関数
Telegram によってメッセージを送信する場合があるが、この際に必要な要素は Bot Token と Chat ID である。sendTeleMsg 関数は[図6]で確認できるように、メールを受信したユーザーの E-mail アドレス、ユーザーが入力する Password、そしてユーザーの IP アドレスを Telegram API を通じて攻撃者が生成したチャットルームに送信する機能が存在する。IP Object の場合はオープンソース(json.geoiplookup.io)を利用するため、IP だけでなく ISP 情報、緯度/経度をはじめとする地域情報まで確保することが可能である。 ([図7])
[図7] geoiplookup.io によってクエリするユーザー情報
攻撃者は Telegram における既知の強みである匿名性や暗号化ロジックがあるために、これをフィッシング攻撃に利用したものと判断できる。また、不正なドメインが識別されると遮断が可能な一般的なドメインとは異なり、正常なアプリケーションの API を活用する点は、アンチウイルス製品による検知を回避するためと思われる。過去にも Telegram API を利用してユーザーアカウントを流出させたケースは、しばしば確認されている。しかし、外部に公開された正常な Web サイトをコードに利用する点をはじめとして、ユーザーを欺くためにより精巧に作られている点が特徴だといえる。ユーザーは、出どころが不明な電子メールの添付ファイルにアカウント情報を入力しないよう、注意しなければならない。
[ファイル検知]
Phishing/HTML.SendTelegram.S2342 (2023.08.21.02)
Phishing/HTML.SendTelegram.S2346 (2023.08.30.03)
Phishing/HTML.Generic.SC192009 (2023.09.01.00 その他多数)
[IOC]
94ebd0b12c95f5072561676985b1dbe5
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報