米Netskopeの調査研究部門であり、クラウド関連の脅威を中心に独自のリサーチを行っているNetskope Threat Labsは、「Cloudflare Workers」を悪用する複数のフィッシングキャンペーンに関する調査結果を、5月23日(現地時間)に発表した。Netskope Threat Labsは、2023年から2024年にかけて、「Cloudflare Workers」にホストされた悪意あるコンテンツの標的となったNetskopeユーザーの継続的な増加の状況を追跡している。
今回、フィッシング用コンテンツをネットワーク検査から隠蔽すべく、マルウェアのダウンロードによく利用されるHTMLスマグリングという検出回避方法を用いたキャンペーンと、攻撃者がCloudflare Workersを正当なログインページのリバースプロキシサーバとして動作させることによって、被害者とログインページ間のトラフィックを傍受して、認証情報、クッキー、トークンを獲得する、透過的フィッシングと呼ばれるキャンペーンに関する調査が行われた。
調査結果によれば、過去30日間でCloudflare Workersにホストされたフィッシングキャンペーンは、おもにアジア、北米、南欧において、テクノロジー、金融サービス、銀行を中心とした複数の業界にわたる被害者を標的にしている。Netskope Threat Labsが発見したフィッシングページの大多数は、とりわけMicrosoftのログイン認証情報を対象としており、加えてGmail、Yahoo Mail、cPanel Webmailも標的としていた。
Netskope Threat Labsは、2023年第2四半期にCloudflare Workersにホストされたフィッシングページへのトラフィックの増加をはじめて確認し、2023年第4四半期にはその急増を観測している。2024年に入って以降、Cloudflare Workersにホストされた悪意あるコンテンツの標的となったユーザー数は横ばいになったものの、依然としてCloudflare Workersにホストされた悪意あるコンテンツへのアクセスを試みる、フィッシングの対象となった数多くのNetskopeユーザーが四半期ごとに観測されたという。
同じく、フィッシングの対象となったNetskopeユーザーがアクセスを試みている悪意あるアプリケーションのユニーク数も増加している。各アプリケーションには、ユニークなドメインが割り当てられ、ユニークなドメイン数は2023年と2024年に増加を続け、現在も伸長していることがわかった。
Cloudflare Workersにホストされたフィッシングキャンペーンのうち、複数がHTMLスマグリングを用いて被害者にフィッシングページを配信している。
これまでのフィッシングでは、被害者にログイン認証情報の入力を誘導すべく、正当なログインページを模倣した独自のフィッシングページを作成していた。しかし、この手法には正当なウェブサイトの外観と機能を模倣するために、フィッシングページを常に最新の状態に維持する必要があるなど、欠点がある。
そこで、認証するサービスと被害者を媒介するサーバを作成し、被害者がログイン認証情報と多要素認証のコードを入力すると、これらを収集して標的アプリケーションに転送することで、被害者をアプリにログインさせつつ、その過程でログイン認証情報、クッキー、トークンを収集する、透過的フィッシングが登場している。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
