Microsoftの研究者は、オープンリダイレクタリンクを利用した新しいフィッシングキャンペーンを検出しました (リダイレクトを開く) セキュリティソフトウェアを迂回し、ユーザーをだまして悪意のあるページにアクセスさせようとする電子メール.
関連している: フィッシングメールでハッカーに悪用されたMicrosoftとGoogleのクラウドインフラストラクチャ
ソーシャルエンジニアリングと組み合わせたオープンリディクタリンク
この攻撃は、オープンリダイレクタリンクと、人気のある生産性ツールになりすましてユーザーをクリックに誘うソーシャルエンジニアリングのトリックの組み合わせに基づいています。. ユーザーが上記のリンクをクリックすると, 一連のリダイレクトが発生します, CAPTCHA検証ページを含む. このページの目的は、「正当性の感覚」を追加し、自動分析を回避することです, そして最終的にユーザーを偽のサインインページに導きます. 最終目標は明確です–資格の妥協. すぐに言った, 収集されたクレデンシャルは、侵害された組織に対するさらなる攻撃で武器化される可能性があります.
フィッシング詐欺師がオープンリダイレクトを使用しているのはなぜですか?
実際には, 電子メール通信でのオープンリダイレクトは、組織間で非常に一般的です. 販売およびマーケティングのスペシャリストは、それらを使用して、顧客を特定のランディングページに誘導し、クリック率を追跡します. もちろん, 攻撃者は、この機能を信頼できるドメインのURLにリンクし、最終的な悪意のあるURLをパラメータとして埋め込むことで、この機能を悪用する方法を発見しました。, マイクロソフトは言った. これを行うことによって, フィッシング詐欺師は、ユーザーやセキュリティソリューションが悪意のある可能性をすばやく検出できないようにする可能性があります.
"例えば, リンクにカーソルを合わせて電子メール内の悪意のあるアーティファクトを検査するように訓練されたユーザーは、信頼できるドメインを引き続き表示してクリックする可能性があります. 同じく, 従来の電子メールゲートウェイソリューションでは、このキャンペーンからの電子メールが誤って通過する可能性があります。これは、その設定が、一目で隠れている悪意のあるパラメータを必ずしもチェックせずにプライマリURLを認識するようにトレーニングされているためです。,」 レポートは説明しました.
このフィッシングキャンペーンのもう1つの注目すべき点は、送信者インフラストラクチャにさまざまなドメインを使用していることです。, 検出を回避する目的でも行われます.
「これには、多数の国別コードトップレベルドメインからの無料のメールドメインが含まれます (ccTLD), 侵害された正当なドメイン, および攻撃者が所有するドメイン生成アルゴリズム (DGA) ドメイン,」と同社は報告した. 少なくとも 350 このキャンペーンだけでも、これまでにユニークなフィッシングドメインが検出されています. この重要な詳細は、攻撃者がキャンペーンに費やした決意と努力を明らかにします, したがって、「潜在的に重要な見返り」を示します。
2月中, 研究者は、フィッシング詐欺師が使用する別の新しい技術を発見しました: 新しい モールス信号を使用した難読化手法 電子メールの添付ファイル内に悪意のあるURLを隠すため. これはおそらく、モールス信号をそのような方法で利用した脅威アクターの最初のケースでした。.