Franken-phish: 他のフィッシング キットから構築された TodayZoo

news

他のキットからコピーされたコードを使用して構築されたフィッシング キット (一部は一般にアクセス可能な詐欺業者を通じて販売されているか、他のキットの再販業者によって再利用および再パッケージ化されています) は、今日のフィッシングおよび電子メールの脅威を促進する経済の状態に関する豊富な洞察を提供します。このフィッシング キットは、攻撃者が操作する一連のエンドポイントに認証情報を送信する広範な一連の認証情報フィッシング キャンペーンを調べているときに発見されました。

このキットに「TodayZoo」という名前を付けたのは、以前のキャンペーンで、資格情報収集コンポーネントでこれらの単語が奇妙に使用されていたためです。これは、人気のあるビデオ会議アプリケーションを偽装したフィッシング ページへの言及である可能性があります。フィッシング キットに関する以前の調査によると、TodayZoo には、広く流通しているコードからコピーされた大量のコードが含まれていました。コピーされたコード セグメントには、以前のキットからのコメント マーカー、デッド リンク、その他の名残も含まれています。

今日のフィッシング攻撃は、効率的で信頼性が高く、収益性の高い製品で満たされた進化したサービスベースの経済によって支えられた環境で行われています。フィッシング キャンペーンを開始したい攻撃者は、リソースとインフラストラクチャのニーズをフィッシング サービス (PhaaS) プロバイダーから借りることができます。または、「プラグ アンド プレイ」できるフィッシング キットを 1 回限り購入することもできます。

ゼロからキットを作成する攻撃者が不利であると言っているわけではありません。どちらかといえば、販売またはレンタル可能なフィッシング キットやその他のツールが豊富にあるため、一匹狼の攻撃者はこれらのキットから最適な機能を簡単に選択できます。彼らは、これらの機能をカスタマイズされたキットにまとめて、すべてのメリットを享受しようとしています。これは TodayZoo の場合です。関連するキャンペーンのリダイレクト パターン、ドメイン、およびその他の手法、戦術、手順 (TTP) に一貫性があるため、背後にいる攻撃者が古いフィッシング キットのテンプレートを見つけて置き換えたと考えられます。悪意のある目的のためだけに TodayZoo を作成するための独自の抽出ロジックを備えた資格情報収集部分。

昨年 12 月に TodayZoo フィッシング キットの最初のインスタンスが確認されて以来、それにつながる大規模な電子メール キャンペーンは大きな停止なしに続いています。最初のサイトのフィッシング ページ アーティファクト、リダイレクト ルーチン、およびドメイン生成アルゴリズム (DGA) メソッドの分析は、 Microsoft Defender for Office 365が前述のキャンペーンから顧客を効果的に保護するのに役立ちます。

Microsoft は、フィッシングで使用される独自のフィッシング キット、フィッシング サービス、およびその他のコンポーネントを追跡して、大規模な悪意のある電子メールから顧客をより適切に保護します。個々の資格情報キャンペーンの監視と最新の回避技術を組み合わせることで、キットとサービスに関する調査を行うことで、フィッシング メール メッセージの構造をより深く理解することができます。このような脅威インテリジェンスと洞察は、Defender for Office 365 やMicrosoft 365 Defenderなどのマイクロソフトの保護テクノロジに組み込まれます。

このブログ投稿では、TodayZoo キットに基づくフィッシング キャンペーンの技術的な側面について詳しく説明しています。また、共有リソース リンクに基づくキットの潜在的な親ファミリである「DanceVida」に関する情報、およびそれとその他の歴史的パターンが TodayZoo のコード構造にどのように現れるかについての情報も提供します。

キットの内容は?

「フィッシング キット」または「フィッシング キット」は、フィッシングを容易にすることを目的とした一連のソフトウェアまたはサービスのさまざまな部分を指す場合があります。この用語は、攻撃者が検出できないフィッシング ページをすばやく設定し、そこから資格情報を収集できるようにする、画像、スクリプト、および HTML ページを含むアーカイブ ファイルを指すのが最も一般的です。ただし、「フィッシング キット」は、ブランドを偽装してユーザーと対話し、ユーザーの資格情報を収集し、攻撃者が所有する資産に投稿する独自のページ自体を具体的に指すためにも使用できます。

フィッシング キットは、通常、機能に基づいて次の主要なコンポーネントに分割されます。

  • 模倣:これらのコンポーネントは、ログイン ページを正当に見せかけるのに役立ちます。これらには、ウェルカム バナーを模倣する画像や、ターゲットの電子メール アドレスに基づいて取得される動的に生成されるロゴやブランディングが含まれます。これらのコンポーネントには、正当なリンクと、用心深いユーザーをページから正当なサイトに誘導する「ヘルプ」または「パスワードのリセット」ボタンも含まれる場合があります。
  • 難読化:これらのコンポーネントは、スキャナーや自動セキュリティ検出システムからページの真の目的を隠します。難読化の手法は、リソースの抽出をより困難にするように設計されたエンコーディングまたは個々の関数によるものです。難読化には、ジオフェンシング、CAPTCHA などを適用するために呼び出されるページまたはサイト上のアンチサンドボックス リソースも含めることができます。
  • クレデンシャル ハーベスト:これらのコンポーネントは、ターゲット ユーザーが提供するクレデンシャルの入力、収集、抽出を容易にします。これらのコンポーネントには、資格情報が送信される場所、保存方法、および資格情報を提供した後にユーザーが送信されるサイトに関する情報も含まれます。

これらのコンポーネントは、TodayZoo フィッシング キットに見られます。これについては、次のセクションで説明します。

TodayZoo ベースのフィッシング キャンペーンの分析

TodayZoo フィッシング キットの使用は、最初は 2020 年 12 月に確認されました。その後、2021 年 3 月に、一連のフィッシング キャンペーンがAwsApps[.]comドメインを悪用して、最終的にユーザーを最終的なランディング ページに誘導する電子メール メッセージを送信することを確認しました。キットをより詳しく調べるように導きます。この記事を書いている時点で、Amazon のドメインでの上記の不正使用について既に通知しており、Amazon はすぐに対策を講じました。

攻撃者は悪意のあるアカウントを大規模に作成しました。最初、送信者の電子メールは、 wederfs76y3uwedi3uy89ewdu23ye87293eqwhduayqw[.]awsapps[.]comなどのランダムに生成されたドメイン名で表示されました。これは、サブドメインが会社のホスト名を表す正当な電子メール (さらには一部のなりすましフィッシング メール) とは対照的です。

電子メール メッセージ自体は比較的単純で、Microsoft になりすまし、検出を回避するためにゼロポイント フォントの難読化技術を利用していました。たとえば、攻撃者はキャンペーンの初期段階で<ins></ins>タグを使用して、以下に示すように数文字ごとにメッセージの日付を目に見えないように挿入していました。

ゼロポイント フォント手法を示す HTML コードのスクリーンショット

図 1. 電子メール メッセージの HTML コードに日付を挿入するゼロ ポイント フォント難読化の例

ソーシャル エンジニアリングは、メッセージ本文を何ヶ月にもわたって繰り返し変化させます。 4 月と 5 月のキャンペーンではパスワードのリセットが使用されましたが、最近の 8 月のキャンペーンではファックスとスキャナーの通知が利用されていました。

このキャンペーンで使用された電子メールのスクリーンショット

図 2.TodayZoo フィッシング キットにつながる電子メールのおとりの例

ルアーに関係なく、次の攻撃チェーンは一貫しており、最初と 2 番目のリダイレクター、最終的なランディング ページ、資格情報収集ページが含まれます。以下は、TodayZoo の攻撃チェーン URL のサンプルです。

  • 初期リダイレクタ: hxxp://2124658742[.]ujsd[.]pentsweser[.]com//fhwpp8sv[.]#aHR0cHM6Ly9saW1lc3RvbmVzbS5jb20vZWRmaC5rZXJmcS8jbm8tcmVwbHlAbWljcm9zb2Z0LmNvbQ==
  • セカンダリ リダイレクタ: hxxps://limestonesm[.]com/edfh.kerfq/#no-reply@microsoft[.]com
  • 最終ランディング ページ: hxxps://fra1[.]digitaloceanspaces[.]com/koip/25_40_24_5E_40_26_40_26_28_29_23_23_5E_23_24_26_5E_25_26_40_5E_28_23_26.html#no-reply@microsoft[.]com
  • 資格情報収集ページ: hxxps://nftduniya[.]com/cas/vcoominctodayq[.]php

最初の URL と 2 番目の URL は、侵害されたサイトまたは攻撃者が作成したサイトであり、リダイレクターとして機能して、電子メールで使用されているより広範な URL のセットを、フィッシング キットがホストされている最終的なランディング ページに誘導します。最初の URL では、無限のサブドメインが使用されていました。これは、攻撃者が受信者ごとに一意の URL を使用して、1 つのドメインのみを購入または侵害することを可能にする、前述の手法です。この URL は、パスの境界にある複数のスラッシュで構成される不正な形式の URL と、受信者の電子メール アドレスと共にエンコードされたセカンダリ URL も利用していました。

これまでに確認した TodayZoo ベースのキャンペーンのほぼすべてのインスタンスで、最終的なランディング ページはサービス プロバイダーの DigitalOcean 内でホストされています。このページには、標準の Microsoft 365 サインイン ページとの明確な違いがいくつかあります。特に、今年の初めからこのブログの公開時まで、外観はほとんど変わっていません。この変更がないのは、攻撃の指標 (IOA) として使用される配信方法、ルアー、およびサイトに多数の変更が加えられたにもかかわらず、TodayZoo キットは、いくつかの文字列が変更されただけで、ほぼ同じままであったためです。

認証情報が盗まれるフィッシング ページのスクリーンショット

図 3. 2021 年 8 月の TodayZoo の偽のサインイン ページの例

TodayZooキットには、難読化コンポーネントがほとんど含まれていませんでした。これは、ランディング ページのソース コードから、盗まれた認証情報が流出する場所が明らかになったためです。通常、資格情報収集ページは資格情報を処理し、後で収集するためにキットの販売者または購入者が所有する追加の電子メール アカウントに転送します。キャンペーンが資格情報をサイト自体にローカルに保存するのは珍しいことです。

認証情報収集のコードのスクリーンショット

図 4.資格情報の流出を示す TodayZoo HTML ソースからの抜粋

当社の分析によると、 TodayZoo.phpというファイル名は、認証情報処理ページがZoom.phpで終わる以前のバージョンのフィッシング キットに由来するように見えることに注意してください。このバージョンには、「Today Zoom Meetings」などのマーカーもあり、最初は人気のあるビデオ会議アプリケーションのユーザーをターゲットにしていたことを示しています。

後続の TodayZoo ベースのキャンペーンは、前述の攻撃キルチェーン パターンとソース コードに従います。運用の最初の数か月間は、 TodayZoo.phpが使用されていましたが、最新の収集ページでは「today」という単語が維持されていましたが、現在は代わりにvcoominctodayq.phpを使用している可能性があります。

また、攻撃者は、単一の正当なメール サービスを悪用することから、メール キャンペーンのためにメール サービス アカウントを侵害するようになりました。ただし、それらは URL パスとサブドメインに特定の残りの文字パターンを維持し、説明されている他の TTP と連携します。

パズルを解く

通常、転売または再利用されるフィッシング キットには、生成された電子メール キャンペーンを通じて複数のアクターがそれらを使用している兆候があります。たとえば、これらのキャンペーンでは、最終的なランディング ページのリダイレクト手法とホスティング ドメインが異なります。 TodayZoo の場合、前述のように、関連するキャンペーンのパターン、ドメイン、および TTP に一貫性があります。多くのフィッシング キットはさまざまな電子メール キャンペーン パターンに起因しており、逆に、多くの電子メール キャンペーン パターンは多くのフィッシング キットに関連付けられていますが、TodayZoo ベースのページは同じ電子メール キャンペーン パターンのみを使用しており、その後の電子メール キャンペーンはいずれも表面化しただけです。今日の動物園キット。これらのことから、この特定の TodayZoo 実装の背後にいるアクターは、独自に活動していると思われます。

分析した TodayZoo のランディング ページのソース コードには、外部ソースへの静的な参照が最初からいくつかありました。通常、これらの外部リンクは、フィッシング キットがなりすましているサイトのログイン ページやその他のブランド要素を適切に模倣するのに役立ちます。しかし、TodayZoo の場合、これらのサイト接続の多くは「リンク切れ」であり、ページ内で関連する機能を果たしませんでした。 <!– FORM 1111111111111111 –><!– FINISHHHHHHHHHHHHHHHHHHHH –>のようなさまざまなマーカーも、ソース コード全体に散らばっていました。ソース コードの一部では、さまざまなセクションで複数の言語が使用されており、どの言語が置き換えられたかが明確に示されています。

さらに調査を行った結果、デッド リンクとマーカーは、無料または購入可能な他の多くのコモディティ キットからの名残りであることが判明しました。次に、TodayZoo を以前に分析した他のフィッシング キットと比較したところ、これらのキットにもDancevida[.]comなどのサイトへの参照が含まれていましたが、難読化または資格情報収集コンポーネントのコード ブロックが異なっていたことがわかりました。

DanceVida への参照を示す TodayZoo コードのスクリーンショット

図 5. DanceVida[.]com を参照する TodayZoo ランディング ページのソース コードからの抜粋

DanceVida接続

「DanceVida」は、本格的なフィッシング キットというよりも、コード ブロックに近いものです。そのため、DanceVida を使用するキットは、キットの命名スキーマや、ドキュメントのダウンロード ページを含むさまざまなランディング ページ テンプレートの下で、さまざまなフォーラムで直接販売されているため、配信、ルアー、および場所がかなり多様です。 DanceVida ベースのキットの収集ページが収集する資格情報のほとんどは、GMail、Yahoo!、Yandex などの無料の電子メール サービスを使用するアカウントに盗み出されます。

また、DanceVida を参照し、TodayZoo クレデンシャル フィッシング キャンペーンで観察されたものとコンポーネントを共有する注目すべきキットの 1 つは、「Fud Tool」として知られるオンライン セラーに関連する「Office-RD117」です。この販売者は、さまざまなフォーラムや他の Web サイトで、他のフィッシング キットや電子メールおよび SMS 配信ツールも提供しています。

FUD ツール Web サイトのスクリーンショット

図 6: Wayback Machine Internet Archive からの、現在は機能していない Fud Tool Web サイトのスクリーンショット

Office-RD117 キットを分析したときに、パッケージ化されたリソース内に複数の販売者からの署名も見られたことは興味深いことです。また、2020 年 1 月に 1 日未満しか有効でなかった GitHub アカウントへの参照など、デッド リンクの例もあります (このアカウントは、この記事の執筆時点ではまだオンラインのキットに引き継がれています)。これは、市販のフィッシング キットでさえ、他のキットの要素を再利用および転用していることを示しています。このような混合と組み合わせにより、あるキットがどこで終わり、別のキットがどこで始まるかを判断することも非常に困難になります。

TodayZoo と DanceVida や他のキットとの比較

TodayZoo の場合、その実装は、DanceVida を参照するキットのより大きなスーパーセットと約 30 ~ 35% しか一致しないことがわかりました。以下の図に見られるように、TodayZoo のサンプルとランダムに選択された DanceVida のサンプルを比較すると、TodayZoo が資格情報収集コンポーネントで逸脱するまで、両方とも最初は類似した構造とコード部分を持っています。

DanceVida と TodayZoo フィッシング キットのソース コードを比較するスクリーンショット

図 7. DanceVida と TodayZoo のキットの比較。一致するソース コードを示しています。

DanceVida と TodayZoo フィッシング キットのソース コードを比較するスクリーンショット

図 8. 非常によく似たソース コードを示す DanceVida キットと TodayZoo キットの比較。 TodayZoo がその変数をどのように変更したかに注目してください。

DanceVida と TodayZoo フィッシング キットのソース コードを比較するスクリーンショット

図 9. DanceVida キットと TodayZoo キットの比較で、クレデンシャル投稿の実装がわずかに異なることを示しています

以下の表は、TodayZoo の「フランケンシュタインの怪物」の特徴をさらに説明するために、現在のフィッシング ページの 1 つと Office-RD117 および他の 4 つのランディング ページとの比較を拡大したものです。これらのランディング ページは、特定のオペレーターに帰属するものではなく、DanceVida を参照しているか、同じ資格情報収集 POST ステートメントを使用しています。これらのサンプルはすべて、模倣、難読化、または資格情報収集コンポーネントでコード セグメントを共有していますが、それぞれに独自の要素があり、それらを区別しています。

さまざまなフィッシング キットと TodayZoo との類似性を比較した表

表 1. 最近の TodayZoo サンプルと関連するフィッシング キットの類似領域と割合

TodayZoo と他のフィッシング キットのコードの類似性を視覚的に表現

図 10. 最近の TodayZoo サンプルと関連するフィッシング キットの類似領域のグラフ表示

上記の比較は変更の履歴を示しており、これらのフィッシング キットによって再利用されている「コア」コード セットの存在を示唆しています。また、リモート アクセス型トロイの木馬 (RAT) やその他のマルウェア ファミリが攻撃者によって継続的に改造されながらも、大量のコード ブロックが全面的に保持されていることを連想させます。

Microsoft Defender for Office 365 で脅威インテリジェンスがフィッシング対策テクノロジを強化する方法

TodayZoo、DanceVida、およびその他のフィッシング キットの分析により、今日のアンダーグラウンド エコノミーに関するいくつかの洞察が得られます。第一に、この調査は、現在観察されている、または利用可能なほとんどのフィッシング キットが、より大きなキット「ファミリー」の小さなクラスターに基づいていることをさらに証明しています。この傾向は以前から観察されていましたが、これまでに確認されたフィッシング キットが大量のコードを共有していることを考えると、これは標準的な傾向であり続けています。デッド リンクや他のキットへのコールバックが引き続き存在することは、多くのフィッシング キットの配布者やフィッシング オペレーターがこれらの既存のキットに簡単にアクセスし、それらの一部を使用して新しいキットを高速化していることを示しています。

第二に、私たちの調査によると、サイバー犯罪経済のプレーヤーは、製品に対する調査が不足していることを当てにしています。それが彼らの側の悩みの種であるか恩恵であるかは、製品のコードがどのように実装されているかによって異なります。たとえば、チェックされずに再利用されたキットが、盗まれた資格情報のコピーを元の作成者に呼び戻すことは、作成者の受動的収入に相当する可能性があります。

上記のような洞察は、当社の保護技術を強化します。 TodayZoo、フィッシング サービス、フィッシング攻撃のその他のコンポーネントなどの独自のフィッシング キットに関するインテリジェンスにより、 Microsoft Defender for Office 365は関連するキャンペーンを検出し、悪意のある電子メール、URL、およびランディング ページをブロックできます。 Defender for Office 365 の機械学習、ヒューリスティック、および高度なデトネーション テクノロジの使用と組み合わせることで、このようなインテリジェンスは、ユーザーが電子メールを受信したり、コンテンツを操作したりする前であっても、1 つまたは複数のコードからテクニックを活用しようとするキットを検出することも可能にします。 .

フィッシングの状況における最新の傾向に関する脅威インテリジェンスは、 Microsoft Defender SmartScreenなどの他のマイクロソフト セキュリティ ソリューションにもフィードされます。これは、ブラウザーでフィッシング Web サイトと悪意のある URL とドメインをブロックし、 ネットワーク保護は悪意のあるドメインと IP アドレスへの接続をブロックします。 . 高度なハンティング機能により、アナリストはフィッシング キット コンポーネントやその他の IOA を検索できます。

組織は、Microsoft Defender for Office 365で、フィッシング対策、 安全なリンク安全な添付ファイルポリシーの適用など、推奨される設定を構成できます。これらは、配信時とクリック時にスキャンすることにより、リアルタイムの保護を保証します。 Microsoft 365 Defender を使用して保護をさらに強化できます。Microsoft 365 Defenderは、電子メール、エンドポイント、およびその他のドメインからの信号を関連付けて、調整された防御を提供します。

Microsoft Defender for Office 365 を使用した、業界をリードする包括的な保護により、資格情報のフィッシングやその他の電子メールの脅威を阻止する方法について説明します

年間を通じて組織を保護するためのリソースと情報については、 National Cybersecurity Awareness Month のページをご覧ください。あなたの役割を果たします。 #BeCyberSmart

 

Microsoft 365 Defender 脅威インテリジェンス チーム

 

高度なハンティング クエリ

TodayZoo オペレーター パターンを含むメール

このクエリを使用して、パスとドメイン分割ポイントで追加のスラッシュを使用し、パスとサブドメイン構造で TodayZoo オペレーターのパターンを使用する送信された電子メールを検索します。 TodayZoo の運営者は URL を添付ファイルに保存することがあるため、このクエリではそれらのインスタンスは表示されません。

EmailUrlInfo
| where Url matches regex "(ujsd)?.[a-z]+.com//.+.#"

TodayZoo パターンが DigitalOcean にリダイレクトするエンドポイント アクティビティ

このクエリを使用して、パスとドメイン分割ポイントで追加のスラッシュを使用し、パスとサブドメイン構造で TodayZoo オペレーターのパターンを使用する送信された電子メールを検索します。

DeviceNetworkEvents
| where RemoteUrl matches regex "(ujsd).[a-z]+.com//.+.#" or RemoteUrl endswith "digitaloceanspaces.com"
| extend Domain = extract(@"[^.]+(.[^.]{2,3})?.[^.]{2,12}$", 0, RemoteUrl)
| summarize dcount(Domain), make_set(Domain) by DeviceId,bin(Timestamp, 1h), InitiatingProcessFileName, InitiatingProcessCommandLine
| where dcount_Domain >= 2

侵害の兆候

初期ベース ドメインの例

pentsweser[.]com eurhutes[.]com dalotcii[.]com
ブイヨシ[.]com gsuouyty[.]com matanictii[.]com
phmakert[.]com brepme[.]com concord[.]com
sazmath[.]com normmavec[.]com jumperctin[.]com
selfessdas[.]com kurvuty[.]com iotryfuty[.]com
setmakerl[.]com vlogctii[.]com coffimkeer[.]com
mosyeurty[.]com qurythuy[.]com carlssbad[.]com
雨[.]com tenssmor[.]com tenssmr[.]com
coffkeer[.]com tamsops[.]com スピードムズ[.]com
しゃげねっぴ[.]com シャダイン[.]com コーヒーメーカー[.]com
cofeer[.]com カートライト[.]com uyfteuty[.]com
slobhurtiy[.]com Braingones[.]com beinsmter[.]com
ksfcaghyou[.]com coffkr[.]com rtuattcty[.]com
lamyot[.]com tenssm[.]com kanesatakss[.]com
脳死[.]com ourygshry[.]com

サブドメインを含む初期ドメインのサンプル

1776769042[.]ujsd[.]iotryfuty[.]com 443577567[.]ujsd[.]iotryfuty[.]com
646611056[.]ujsd[.]gsuouyty[.]com 1007183231[.]ujsd[.]gsuouyty[.]com
1469782555[.]ujsd[.]phmakert[.]com 1436029448[.]ujsd[.]ブイヨシ[.]com
946552600[.]ujsd[.]ブイヨシ[.]com 1733787821[.]ujsd[.]ブイヨシ[.]com
1988722677[.]ujsd[.]eurhutos[.]com 255622856[.]ujsd[.]eurhutos[.]com
600774497[.]ujsd[.]sazmath[.]com 1315116569[.]ujsd[.]setmakersl[.]com
1179340144[.]ujsd[.]sazmath[.]com 516942697[.]ujsd[.]setmakersl[.]com
1742965301[.]ujsd[.]setmakersl[.]com 124967719[.]ujsd[.]normmavec[.]com
202271174[.]ujsd[.]pentsweser[.]com 1010306526[.]ujsd[.]iotryfuty[.]com
728156920[.]ujsd[.]iotryfuty[.]com 1244535616[.]ujsd[.]selfessdas[.]com
1227334331[.]ujsd[.]selfessdas[.]com 1229648857[.]ujsd[.]kurvuty[.]com
926765708[.]ujsd[.]kurvuty[.]com 254503147[.]ujsd[.]kurvuty[.]com
1656812361[.]ujsd[.]dalotcii[.]com 100666740[.]ujsd[.]matanictii[.]com
404793834[.]ujsd[.]matanictii[.]com 879643450[.]ujsd[.]matanictii[.]com
658338120[.]ujsd[.]matanictii[.]com 1359496128[.]ujsd[.]dalotcii[.]com
995216045[.]ujsd[.]dalotcii[.]com 1838392685[.]ujsd[.]dalotcii[.]com
9725332[.]ujsd[.]brepeme[.]com 1668463162[.]ujsd[.]conncorrd[.]com
165175575[.]ujsd[.]sazmath[.]com 215852665[.]ujsd[.]brepeme[.]com

サンプルの初期 URL

  • odghyuter[.]com//wfvmlpxuhjeq[.]#aHR0cHM6Ly9wb2dmaHJ5ZXQuY29tL2VkZmgua2VyZnEvI25vLXJlcGx5QG1pY3Jvc29mdC5jb20=
  • ujsd.coffimkeer[.]com//0jw7yklk[.]#aHR0cHM6Ly9sdWh5cnR5ZS5jb20vZWRmaC5rZXJmcS8jbm8tcmVwbHlAbWljcm9zb2Z0LmNvbQ==
  • ujsd.pentsweser[.]com//iojjyaqw[.]#aHR0cHM6Ly9saW1lc3RvbmVzbS5jb20vZWRmaC5rZXJmcS8jbm8tcmVwbHlAbWljcm9zb2Z0LmNvbQ==
  • ujsd.brepeme[.]com//bnxvhyex[.]#aHR0cHM6Ly92YWVwbGVyLmNvbS9lZGZoLmtlcmZxLyNuby1yZXBseUBtaWNyb3NvZnQuY29t

セカンダリ (リダイレクター) URL の例

  • pogfhryet[.]com/edfh[.]kerfq/#no-reply@microsoft[.]com
  • luhyrtye[.]com/edfh[.]kerfq/#no-reply@microsoft[.]com

最終的なランディング ページのサンプル

  • NYC3 [。] DigitaloCeanspaces [。] com/bnj/25_40_24_5e_40_26_40_26_28_29_23_23_5E_23_24_26_5E_25_25_26_40_5E_28_23_23_25%25_ 25%25_%25_ 25%25_%25_%25_%25_%25_%25_%25_%25% 25_%25_%25_%25_%25_%25_%25_%25_%25_%25_%25_%25_%25_%25_%25_%25_%25_%25[.]html#no-reply@microsoft[.]com

資格情報収集ページのサンプル

  • lcspecops[.]com/psl/vcoominctodayq[.]php

参考文献

 

参照: https://www.microsoft.com/en-us/security/blog/2021/10/21/franken-phish-todayzoo-built-from-other-phishing-kits/

Comments

タイトルとURLをコピーしました