攻撃者は、ファイザーになりすまして被害者のビジネス情報や財務情報を盗むための高度な標的型フィッシングキャンペーンを行っていることがわかりました。
フィッシャーは常に新しいことに挑戦していますが、その中でも有名なブランド名を口にするのが好きです。今回の攻撃では、ブラックハットはアンチフィッシング・レーダーを回避するために、ハイテクとローテクの両方を駆使していました。新しく作成されたフリーウェアのドメインを使い、初歩的なメール防御(DKIMやSPFレコードのDMARC分析など)が作動しないようなフィッシングメールを送信するように設定されていました。また添付ファイルやメール自体にポイズンリンクやマルウェアが含まれていない、シンプルなPDFの添付ファイルのことです。これらの要素は、アンチフィッシングの分析を引き起こさないように設計されています。
ファイザーは有名な製薬会社で、COVID-19に対する現在利用可能な数少ないmRNAワクチンを製造していることで有名です。
フィッシング業者は、広く知られているブランド名を利用することを目的としており、架空の企業になりすますよりも成功の可能性が飛躍的に高まります。
INKY社の新しいレポートの中で、脅威グループが2021年8月15日頃から始まったフィッシングメール攻撃でPhizerになりすましていると説明しています。
このキャンペーンの背後にいるグループは「無害な」PDFの添付ファイルとファイザーの公式オンラインスペースのように見える新たに登録されたドメインを組み合わせて、熱心にフィッシング操作を行っています。
そして、これらのドメインからメールアカウントを生成し、メール保護ソリューションを回避するためにフィッシングメールを配信します。
これらのドメインはNamecheapを通じて登録されています。Namecheapは、支払い方法として暗号通貨を利用できるため、行為者は匿名を保つことができます。
INKYが確認した例の一部を紹介します。
- pfizer-nl[.]com
- pfizer-bv[.]org
- pfizer-htlinc[.]xyz
- pfizertenders[.]xyz
pfizer-nl[.]comは、ファイザー社がオフィスを構えているオランダの公式オンラインポータルだと勘違いされる可能性があります。
微妙な誘い文句
メールの件名は、緊急の見積もり、入札の案内、産業用機器の供給に関連した話題などが一般的です。
COVID-19の新しい亜種は急速に広まっているため、フィッシング業者はこれらのメールに緊急性を盛り込むことが簡単になっています。
INKYのアナリストが確認した400件の事例のほとんどで、フィッシングのプロは完璧なレイアウトの3ページのPDF文書を使用し、期日や支払い条件など、正当な見積もり依頼を構成する詳細を説明しています。
このPDFには、メールセキュリティツールで警告を発するようなマルウェアをダウンロードするリンクやフィッシングURLは含まれておらず、不正行為がわかるような誤字もありません。
しかし、受信者は、quote@pfizerbvl[.]comやquote@pfizersupplychain[.]comなど、偽装されたファイザーのドメイン・アドレスに見積書を送信するよう要求されています。
このキャンペーンの正確な目的は明らかになっていませんが、PDFに支払い条件が含まれていることから、脅威の行為者が受信者に対して、いずれかの時点で銀行情報の共有を要求することが示唆されています。
支払い情報が提供された場合、その情報は、攻撃者がターゲット企業の顧客に対して今後行うBECキャンペーンで使用される可能性があります。
また、攻撃者は最初のメールでは個人情報を要求しないため、受信者の警戒心を和らげる効果を持っています。
このようなメールに返信してしまうと、被害者はさらに騙されてしまうことになります。
通常とは異なる入札依頼のメールを受け取った場合は、その会社の通常の電話番号に連絡し、担当者と話をするように頼むのが安全です。
その人がその会社で働いていなかったり、このようなメールを知らなかったりした場合は、要求を無視してメールを削除しましょう。
Comments