ワールドツアー:
Menloのセキュアエンタープライズブラウザがどのように攻撃者に先んじるかをライブで見てみましょう
さらに詳しく
Icon Rounded Closed - BRIX Templates

COVIDフィッシング詐欺師の追跡

Menlo Labs
|
June 14, 2022
linkedin logotwitter/x logofacebook logoSocial share icon via eMail
__wf_リザーブド_デコラティブ

エグゼクティブサマリー

Menlo Labsの研究チームは最近、脅威アクターがデータを利用してなりすまし詐欺を行ったフィッシング事件を分析しました。Menlo Labs は、XBALTI フィッシングキットを使って被害者情報を盗み、不正な失業保険請求や新型コロナウイルス救済支援の申請に使用した脅威アクターを追跡することができました。

感染ベクター

このケースでは、XBALTIフィッシングキットを見ていきます。XBALTI フィッシングキットはよく使われるフィッシングキットで、ターゲットとなるテーマはいくつかあります (Amazon とチェースバンキング)。当社の脅威アクターは、チェースバンキングというテーマを使用していました。

フィッシングキットは複数のファイルで構成されており、これらが連携して被害者のデータを盗みます。収集後、キットはデータを脅威アクターに漏らします。攻撃者は管理者パネルにアクセスして盗まれたデータにアクセスしたり、情報を自分自身に電子メールで送信したりすることもできます。以下に、このフィッシングキットの分析を示します。

XBALTI フィッシングキットの内訳

フィッシングキットのディレクトリパス

例 1:

  • ホームアマゾンフォルダ → /amazon/
  • 管理パネル → /admin/index.php
  • 管理パネルの結果 → /admin/rezulta.php
  • アンチボット → /amazon/antibots.php
  • ブラウザ名を取得 → /amazon/XBALTI/get_browser.php (このファイルは analytics.php で見られました、フェイクポップアップ)

アナリストのコメント:この情報は変更される可能性があります (出典: https://scammer.info/t/xbalti-phishing-kit-amazon-and-chase/78691)

screenshot of phishing kit directory

例 2:

  • ホームアマゾンフォルダ →/amazon/
  • 管理フォルダ → /admin/
  • /amaz.zip
  • /cgi-bin/
  • /レター/

(ソース: https://blog.medarkus.net/2020/10/11/XBALTI-Kit.html)

screenshot of directory

管理パネル:
XBALTIの管理パネルには、視聴者、社会保障番号、生年月日を確認できるページのほか、複数のメールやクレジットカードのページが脅威アクターに提供されます。

screenshot of XBALTI admin login
/mazon/admin の下の XBALTI 管理パネルページ
screenshot of XBALTI admin panel

ランディングページ:
ランディングページは、被害者をだましてサイトと情報を共有させるために、ターゲット企業を模倣したカスタムWebサイトです。

screenshot of amazon phishing landing page
(ソース: https://blog.medarkus.net/2020/10/11/XBALTI-Kit.html)
(ソース: https://blog.medarkus.net/2020/10/11/XBALTI-Kit.html)

情報を盗むページ:
これらのページは、正規の安全なログインページのように見えるように設計されています。ただし、これらの企業は通常、これらのページが求めているものなど、ログインするための個人情報の提供を顧客に求めることはありません。

screenshot of amazon phishing page
(ソース: https://blog.medarkus.net/2020/10/11/XBALTI-Kit.html)
screenshot of amazon phishing page
(ソース: https://blog.medarkus.net/2020/10/11/XBALTI-Kit.html)

Amazonは、お客様のアカウントにアクセスするために最新の支払い情報を求めることはありません。ユーザーは、このような詳細には十分注意する必要があります。

screenshot of Chase phishing page
チェース情報盗用ページ (ソース: https://www.securityweek.com/chase-bank-heavily-targeted-xbalti-phishing-kit)
screenshot of chinese amazon phishing site
(ソース: https://www.vmray.com/cyber-security-blog/malware-analysis-spotlight-xbalti-phishing-kit-variant-targeting-amazon-customers/)
screenshot of japanese amazon phishing site
(ソース: https://www.vmray.com/cyber-security-blog/malware-analysis-spotlight-xbalti-phishing-kit-variant-targeting-amazon-customers/)
screenshot of social security phishing page
米国社会保障窃盗ページ(ソース: https://blog.medarkus.net/2020/10/11/XBALTI-Kit.html)

資格情報:
フィッシングキットは被害者の認証情報を危険にさらしますが、攻撃者自身のメールアドレスとパスワードでハードコーディングされています。このオペレーション・セキュリティ・フェイルにより、脅威アクター自身の個人情報が漏洩します。このように設定されているので、盗まれた情報を脅威アクターのメールアドレスに直接送信できます。

screenshot of php code showing threat actor personal information

脅威インテリジェンス

フィッシングキットを見てきたので、次は脅威アクターについて説明します。

攻撃者は、フィッシングキットやその他の手法を使用して、被害者から個人情報を収集しました。Menlo Labs は、攻撃者のメールに含まれる内部情報へのアクセスを許可されました。そこには、XBALTI から送られてきたテストログと思われるメールが確認できました。アクターは次のフィッシングリンクを使用しました。https [://] topwaterproofcamera [.] com/chase。/secure/xbalti/send.php。

screenshot of login information from chase phishing page
screenshot of login information from chase phishing page

アクターが被害者から収集した情報から、彼が融資申請書を作成しようとしたことがわかります。また、彼は仮名義で銀行口座を開設しました。

screenshot of bank account confirmation email

最初は、すべてがうまくいったわけではありませんでした。銀行はカードを間違った住所に送り、アクターではなく被害者に送った。これはアクターが使用する偽のアドレスの1つにすぎません。彼がお金を渡すラバを捕まえているか、その住所の人を知っている可能性があります。

screenshot of email showing request for credit card to be sent to a different address

また、本名と仮名を使ってCash Appアカウントを開設しました。取引に基づいて、アクターが関与している詐欺が他にもある可能性があると評価します。また、彼はほとんどお金を送っていないようで、自分がラバであることを知らない可能性のある被害者からより多くの金額を受け取っているように見えることにも気付きました。

screenshot of $20 being sent through cash app
screenshot of square confirmation of $3.19 being spent at apple

脅威アクターは暗号通貨ウォレットも設定します。

screenshot of Blockchain.com confirmation email
screenshot of email inbox

詐欺師は続けて、失業手当の申請だけでなく、COVID救済ローンやFEMA災害救援金も利用しようとしました。

Tennessee department of labor pandemic unemployment assistance letter
screenshot of Tennessee unemployment insurance claim letter
screenshot of FEMA disaster assistance application confirmation email

結論

Menlo Labsは適切な法執行機関と協力して、この脅威アクターを逮捕しました。これは、それほど大きなリスクをもたらさない、レベルの低いアクターだったと私たちは評価しています。

IOCS

https[://]topwaterproofcamera[.]com/chase./secure/XBALTI/send.php

Yara

The following rules were sourced on GitHub and were tested in VirusTotal.

rule PK_Amazon_xbalti : Amazon

{

    meta:

        description = "Phishing Kit impersonating Amazon"

        licence = "GPL-3.0"

        author = "Thomas 'tAd' Damonneville"

        reference = ""

        date = "2021-08-11"

        comment = "Phishing Kit - Amazon - 'BY XBALTI'"

    strings:

        $zip_file = { 50 4b 03 04 }

        $spec_dir = "XBALTI"

        $spec_dir1 = "amazon"

        $spec_file1 = "rezulta.php"

        $spec_file2 = "check_bin.php"

        $spec_file3 = "send_billing.php"

        $spec_file4 = "antibots.php"

    condition:

        uint32(0) == 0x04034b50 and

        $zip_file and

        all of ($spec_dir*) and

        // check for file

        all of ($spec_file*)

}

rule PK_Apple_xbalti : Apple

{

    meta:

        description = "Phishing Kit impersonating Apple"

        licence = "GPL-3.0"

        author = "Thomas 'tAd' Damonneville"

        reference = ""

        date = "2020-12-16"

        comment = "Phishing Kit - Apple - 'BY XBALTI'"

    strings:

        $zip_file = { 50 4b 03 04 }

        $spec_dir = "XBALTI"

        $spec_file1 = "yassin.css"

        $spec_file2 = "Congratulation.php"

        $spec_file3 = "Secure.php"

        $spec_image1 = "img/Apple_logo_grey.svg"

    condition:

        uint32(0) == 0x04034b50 and

        $zip_file and

        $spec_dir and

        // check for file

        all of ($spec_file*) and

        any of ($spec_image*)

}

rule PK_Chase_Xbalti : Chase1

{

    meta:

        description = "Phishing Kit impersonating Chase bank"

        licence = "GPL-3.0"

        author = "Thomas 'tAd' Damonneville"

        reference = ""

        date = "2019-12-29"

        comment = "Phishing Kit - Chase Bank - XBalti"

    strings:

        // the zipfile working on

        $local_file = { 50 4b 03 04 }

        // specific directory found in PhishingKit

        $spec_dir = "XBALTI"

        // specific files found in PhishingKit

        $spec_file = "chasefavicon.ico"

        $spec_file2 = "Email.php"

    condition:

        // look for the ZIP header

        uint32(0) == 0x04034b50 and

               $local_file and

               $spec_dir and

               $spec_file and

               $spec_file2

}

rule PK_Chase_Xbaltiv3 : Chase

{

    meta:

        description = "Phishing Kit impersonating Chase bank"

        licence = "GPL-3.0"

        author = "Thomas 'tAd' Damonneville"

        reference = "https://stalkphish.com/2021/04/22/scammer_vs_scammer_backdoored_phishing_kit/"

        date = "2021-04-21"

        comment = "Phishing Kit - Chase Bank - XBalti V3"

    strings:

        // the zipfile working on

        $local_file = { 50 4b 03 04 }

        // specific directory found in PhishingKit

        $spec_dir = "XBALTI"

        // specific files found in PhishingKit

        $spec_file = "desktopnight.jpeg"

        $spec_file2 = "lostyle.css"

        $spec_file3 = "Email.php"

    condition:

        // look for the ZIP header

        uint32(0) == 0x04034b50 and

               $local_file and

               $spec_dir and

               all of ($spec_file*)

}

ブログカテゴリー
脅威の傾向と研究
タグ付き
メンローラボ
HEAT
RBI
脅威の傾向
Web セキュリティ

Explore related blog posts

ロックビットを弱体化させる試みと組織の回復力:クロノス作戦への洞察

March 19, 2024

騙されたブラックキャットの関連会社がチェンジ・ヘルスケアの身代金から分け前を要求している

March 6, 2024

GenAI のリスクが引き続きセキュリティ体制に与える影響

February 14, 2024

安全な働き方を唯一の働き方にしましょう。

Menloセキュリティの専門家に相談するには、フォームに記入してください。