オンライン旅行代理店Booking.comを偽装したフィッシング攻撃について、マイクロソフトの脅威インテリジェンスはStorm-1865として追跡しているということです。昨年末に確認された新たなキャンペーンでは、ClickFixによりリモートアクセス機能のあるバックドア型トロイの木馬に感染させて、さまざまな情報を窃取しているようです。
マイクロソフトが追跡するStorm-1865
マイクロソフトによると、Storm-1865は攻撃手法を巧妙に変化させているようです。Booking.comはこれまで不正アクセスによる顧客情報の流出により、宿泊施設に偽装したフィッシングメールが予約客に配信されてクレジット情報等を窃取するフィッシングサイトへの誘導が行われたり、不正な支払いページに誘導するフィッシングメールが送信されるなどしてきましたが、マイクロソフトが2024年12月に確認したフィッシングキャンペーンではClickFixの手口を使って認証情報を盗むマルウェアが配信されていたということです。MalwarebytesLABSによると同一とみられるこのキャンペーンは現在も継続中のようです。
攻撃者は 最初にBooking.com になりすました悪意のあるメールを送信します。ターゲットになっているのはホテルや旅館などBooking.comのシステムを導入している施設の担当者のようです。メールの内容は施設の否定的なレビューだったり、見込み客からのリクエスト、オンラインプロモーションの紹介、アカウントの確認など多岐にわたるようです。
メールにはリンクやリンク付きのPDFファイルが添付されており、そのリンクをクリックするとBooking.comのサイトを模倣したページのデザインの上に偽のCAPTCHAが表示され、Booking.comが追加の認証チェックを求めているように見せかけます。偽のCAPTCHAにチェックを入れると、ウィンドウズのキーを操作してロボットではないことを示す手順を指示する画面が表示されます。通常のCAPTCHAではこのような画面は表示されず、Chromeを使用していると警告が表示されることもあるようですが、そのまま指示に従って操作を続けてしまうと、ckjg.exe というファイルがダウンロードされて実行され、このファイルは Stub.exe というファイルをダウンロードして実行、マイクロソフトによるとXWorm、Lumma stealer、VenomRAT、AsyncRAT、Danabot、NetSupport RAT など、複数のマルウェアが配信されるということです。
MalwarebytesLABS「5月中旬にキャンペーンの兆候」
マイクロソフトはこのキャンペーンを昨年12月に確認し、今年3月のブログでは今年2月の時点でキャンペーンは継続中としている一方、MalwarebytesLABSはキャンペーンの兆候は5月中旬に現れたとしているためマイクロソフトとMalwarebytesLABSがそれぞれ指摘しているキャンペーンは異なる可能性もありますが、MalwarebytesLABSの指摘するキャンペーンでもAsyncRATを検出しており、これはマイクロソフトの指摘するキャンペーンでも検出されています。AsyncRATはリモートアクセスツール(RAT)として機能するバックドア型トロイの木馬です。
ClickFixは、ダイアログボックスを使用して悪意のあるコードをコピー、ペースト、実行させてコンピューターにマルウェアを感染させる攻撃手法です。CAPTCHAは操作をしているのがボットではなく人だということを確認するためにフォームへの入力や特定の画像を選択させるテストです。CAPTCHAを悪用して巧みにマルウェアに感染させる攻撃はBooking.comをターゲットにした攻撃にとどまらず広く確認されており、日本でも今年2月ころから被害の報告が相次いでいる状況です。
■出典・参考
https://jpn.nec.com/cybersecurity/intelligence/250514/index.html