Sneaky2FAは、PhaaS(Phishing as a Service)キットを展開するマルウェア作成者です。
このマルウェア作成者はこれまでも多数のマルウェアやキットを提供してきていますが、そのレパートリーにBrowser-in-the-Browserが加えられてしまいました。
どんなものなのでしょうか。
- 正規のMicrosoftログインURLの表示されているポップアップウィンドウ
Sneaky2FAの提供するPhaaSを使うと、正規のMicrosoftログインURLの表示されているポップアップウィンドウなのに、中身はフィッシングという状態を容易に作成することができます。
見た目は正規のMicrosoftログインのポップアップに見えますが、その内容はiframeを使って構成されていて、実際の通信は正規のサイトには送信されません。
この機能の実装に使われているのがBrowser-in-the-Browserです。 - 想定被害者にのみ悪性コンテンツを表示する
このフィッシングキットを使うと、想定被害者にのみ悪性コンテンツを表示するようにサイトを構築することができます。
ここで使用されるのはconditional loading(条件付き読み込み)です。
CAPTCHAやCloudflare Turnstileなどのボット保護テクノロジーを使用してセキュリティツールがフィッシングページにアクセスするのを防ぐだけでなく、条件付き読み込みテクニックを活用して、意図したターゲットだけがフィッシングのコンテンツにアクセスできるようにし、残りのユーザーをフィルタリングするか、代わりに無害なサイトにリダイレクトします。
これにより、調査や解析されることを回避します。
URL表示部分を見て、それだけでそのサイトが正規サイトだと判定することは十分ではないということですね。
面倒な世の中になったものです。
フィッシングキットが継続的に拡張されてきていて、それがサービスとして利用できることにより、スキルの低い脅威アクターにも大規模な攻撃を仕掛けることが可能となってしまう状態になりました。
何かを促されて実施する際、常に警戒を怠らないことですね。
Analyzing the latest Sneaky2FA Browser-in-the-Browser phishing page
https://pushsecurity.com/blog/analyzing-the-latest-sneaky2fa-phishing-page/
| この記事をシェア |
|
|---|
