脅威リサーチ

ブラックフライデー詐欺が迫る:オンラインショッピング利用者は注意を

投稿者 Shunichi Imano および Fred Gutierrez | 2021年11月11日

FortiGuard Labs Threat Research Report

影響を受けるプラットフォーム: すべてのOS
影響を受けるユーザー:     オンラインショッピングの利用者
影響:             個人情報または金銭の損失
深刻度:            低

年間で買い物支出が最も多い日の1つであるブラックフライデーがまもなくやってきます。Adobe Analyticsによると、昨年同日の消費者支出は実に90億3,000万ドル(前年比21.6%増)に達し、2021年はこれをさらに上回る見込みです。

Amazonは業界最大手のオンラインショッピングサイトで、ブラックフライデーには割引価格での商品購入を求めて多くの消費者が注目しています。Amazonのブログによると、昨年のブラックフライデーからサイバーマンデーまでの売上は、世界全体で48億ドルを超えました(前年比60%増)。こうしたイベント関連での話題性、量、金銭を考慮すると、サイバー犯罪者がこうした儲かるチャンスを逃すはずはなく、金銭的利益のためにあらゆる手段で消費者を騙しにくることでしょう。

このブログでは、サイバー犯罪者が偽のAmazonギフトカード生成ツールで被害者から仮想通貨を盗む手口や、偽の文書で被害者をおびき寄せ、オンラインショッピングサイトの認証情報、クレジットカード番号、自宅の住所などの個人情報を引き出す手口について詳しく説明します。また、世界的な半導体不足によりゲーム機への関心が高まっている状況を狙った同様の詐欺にも注目します。

ただより高い物はない

Amazonでの商品購入の際に、本物のギフトカードがネット上でよく使用されています。しかし先日、FortiGuard Labsでは「Amazon Gift Tool.exe」という悪意のあるファイルを発見しました。このファイルは、一般公開されているファイルリポジトリサイトでホストされているzipファイルで発見されました。このツールがどのように被害者に提供されたのかは定かではありませんが、犯罪者はこのツールを無料のAmazonギフトカード生成ツールとして宣伝していた可能性が高いと考えられています。

無料でギフトカードが手に入るツールなど存在しないことは明らかなのですが、ただで何かが手に入る可能性は多くの人々にとって非常に興味を引かれるものです。しかし、偽のAmazonギフトカード生成ツールを実行してしまうと、被害者のクリップボードを監視する悪意のあるwinlogin.exeがドロップされ、実行されてしまいます。マルウェアの目的は単純です。被害者がウォレットアドレスをコピー&ペーストしてお金を匿名のビットコイウォレットに追加しようとすると、マルウェアは自身のアドレスで、クリップボード上の被害者のウォレットアドレスを上書きします。その結果、攻撃者にお金が流れる可能性が生まれます。悪意のあるコードは次のように動作します:

前述のように、マルウェアはコピー&ペーストの操作が行われるクリップボードを監視します。データがクリップボードにコピーされると、マルウェアは次の3つの基準でサーチします。

  • クリップボードのテキストの長さが54文字であること(「bitcoincash:」という文字列で始まるウォレットアドレスの長さ)。
  • クリップボードのテキストが「bitcoincash:<attacker’s wallet>」ではないこと(ウォレットアドレスの書き換えが不要なため)。
  • クリップボードのテキストに「bitcoincash:」が含まれていること(これによりユーザーが現在ビットコインキャッシュの転送に関与していることが確認できるため)。

この3つの基準がすべて一致したとき、マルウェアによりクリップボードの情報が攻撃者のビットコインキャッシュウォレットアドレスに書き換えられます。暗号化の処理中に暗号ウォレットアドレスをペーストしたときならば、それが上書きされても被害者は気付かないことを攻撃者は狙っているのです。

図1:クリップボードのテキストをチェックするコード

図1はマルウェアコードの一例です。これらのコードが、クリップボードで潜在的な仮想通貨ウォレットアドレスをサーチしています。

また、マルウェアは、検証する仮想通貨の種類に応じて異なるフラグを設定します。上記の基準を見ると、マルウェアが「flag5」を用いてビットコインキャッシュを検証していることがわかります。3つの基準のいずれかが満たされていない場合、マルウェアは次の仮想通貨ターゲットであるEthereum (flag6)に移動し、次の項目をチェックします。

  • クリップボードのテキストの長さが42文字であること(Ethereumウォレットの長さ)
  • クリップボードが攻撃者のビットコインまたはEthereumウォレットではないこと
  • ウォレットアドレスは「0」で始まります。これは、Ethereumウォレットアドレスが「0x」で始まるためです。

基準がすべて一致したとき、マルウェアによりクリップボードが攻撃者のEthereumウォレットアドレスに書き換えられます。

図2:攻撃者が有するさまざまな仮想通貨ウォレット

図2は、攻撃者が有する仮想通貨の一例です(Bitcoin、Ethereum、Binancecoin、Litecoin、Dogecoin、Ripple)。これらにより、被害者のアルトコインウォレットアドレスが書き換えられようとしています。

また、Crunchyroll Breaker.exe、Netflix Tools.exe、Multi Gift Tools.exeなどの興味を引く名前を使って、複数のドロッパーが悪意のあるwinlogin.exeを配布していることも判明しました。こうした類の無料生成ツールが何年も前から出回り、人々を騙していたのです。しかし、Amazonの市場力を考えると、今回の新しい詐欺は特に巧妙です。ブラックフライデーには多くの商品が並ぶので、消費者もこの日に多くの買い物ができることを待ち望んでいます。休暇シーズンで出費を抑えたい消費者にとっては、無料のAmazonギフトカードは非常に魅力的と言えます。しかし、やたらと欲しがるものではありません。こうした詐欺被害に遭わないようにくれぐれもご注意ください。

ゲーム機のフィッシング

最近FortiGuard Labsが確認した新たな詐欺は、ゲーム機関連です。世界的に半導体不足が続いている状況を受け、消費者は、昨年末に発売されたPlayStation 5やXboxシリーズX / Sシステムなどの次世代ゲーム機を入手するのに今現在も苦労しています。

FortiGuard Labsのリサーチャーは最近、「how_much_do_xbox_one_cost_on_black_Friday.pdf」や「Walmart_black_Friday_ps5_pickup.pdf」などのファイル名を有する一連の悪意のあるPDFをネット上で確認しました。ユーザーが人間であることを証明するCAPTCHAが各PDFの最初のページで使用されています。同じページにある [Continue] ボタンの動作に違和感があります。というのは、ユーザーが[CAPTCHA]チェックボックスをオンにすると、Webサイトにリダイレクトされるからです。

残念ながら(調査においての意味で、読者の皆様にとってはよいことです)、ユーザーがリダイレクトされるサイトは、調査の時点で既に利用できなくなっています。しかし、フォーティネットのWebフィルタリングデータに基づくと、両サイトはフィッシングに使用されていました。そのため、被害者はオンラインショッピングサイトの認証情報、クレジットカード番号、自宅の住所などの秘密情報を教えてしまう可能性があります。

図3:詐欺PDFのCAPTCHA
図4:「Walmart_black_Friday_ps5_pickup.pdf」のコンテンツ本文
図5:「how_much_do_xbox_one_cost_on_black_Friday.pdf」のコンテンツ本文

これらの詐欺は新しいものではありませんが、ブラックフライデー商戦に先立ち、潜在的な詐欺に一層の注意を払う必要があります。

ブラックフライデー詐欺のシーズン到来

ブラックフライデーのオンラインショッピングは楽しく、活気に満ちていますが、一方でサイバー犯罪者にとっても、被害者の買い物熱や意欲を利用して収益を得る大きなチャンスとなります。手に入りづらい商品なのに割引があったり販売されていたりして、話がうま過ぎるようであれば、安易に購入しないようにしましょう。

推奨される処置と注意事項

こうした犯罪者は、フィッシング技術で世間に広く攻撃を仕掛け、攻撃者が設計した手順に従って被害者を誘導していきます。そのため、こうした問題には事前に対処することが重要です。

スパムおよび悪意のあるメールのリンクや添付ファイルに対応する上で最も効果的なツールは、高度な検知やレスポンステクノロジーを搭載したセキュアEメールゲートウェイです。フォーティネットのセキュアEメールゲートウェイは、こうした脅威を認識して効果的に阻止するだけでなく、組織の大規模なセキュリティ戦略に簡単に統合することもできます。スタンドアロンソリューションとして運用するのではなく、組織がFortiMailを完全なエンドツーエンドセキュリティソリューションの一部として展開できるようになります。

また、最新のフィッシング / スピアフィッシング技術や、それら見抜いて対処する方法については、組織にて従業員を教育したり情報提供したりする継続的なトレーニングを実施することも強くお勧めします。これには、知らない相手からの添付ファイルを開かないようにし、不明な送信者や信頼できない送信者からのメールは常に注意して扱うよう従業員に注意喚起することが含まれます。

多くのフィッシング攻撃やスピアフィッシング攻撃が、ソーシャルエンジニアリングの配布システムの一部として行われていることが報告されているため、組織内のエンドユーザーも、現在使用されているさまざまな種類の攻撃を認識する必要があります。これに関しては、組織の内部セキュリティ部門で用意された所定のテンプレートを使用して、定期的なトレーニングセッションや抜き打ちのテストを行うことで実現可能です。悪意のある添付ファイルやリンクを含むEメールの見抜き方に関する簡単なユーザー認識トレーニングも、ネットワークへの最初のアクセスを防止するのに役立ちます。

フォーティネットのソリューション

フォーティネットのお客様は、下記のFortiGuardアンチウイルスによりこうしたマルウェアから既に保護されています。

W32/Fsysna.UC!tr

MSIL/GenKryptik.EPMK!tr

FortiMailユーザーは、こうしたフィッシング攻撃から保護されています。

IOC(Indicators of Compromise:侵害指標)

SHA2

D615C3B67026F7F832FCD25E81F698D5374FC92FFBC69C1EA50363B4CA457ADB

11C58EFF77974C97E2854F02E7781E0CC37423E5EB36EAE98CD4230FD6EC4FB0