脅威リサーチ
さまざまな戦略を駆使してイベントの視聴者を狙っています。現在日本で開催されているラグビーワールドカップも、このようなイベントの1つです。アジアまで足を運べない多くのファンが、無料のストリーミングサービスやスポーツアプリケーションのダウンロードを利用して、お気に入りのチームに関する最新情報にアクセスしています。ところが、残念ながら無料のサービスほど高く付くものです。
私たちは先頃、FortiGuard Labsのドメインデータフィードの調査中、不審なサイト(rugbyworldcup[.]xyz)を発見しました。これは、ワールドカップの無料ライブストリーミングを宣伝するサイトでした。Webサイトのリンクをたどっていくと、クレジットカード情報の入力を求める詐欺サイトに行き着きました。無料を謳っているにもかかわらず、実は無料ではありませんでした。
rugbyworldcup[.]xyzの調査中、動的なリダイレクターであるsports99[.]clubにアクセスしたところ、動画、音楽、eBookを無料で提供する無料サービスサイトがさらに見つかりました。
独自仕様のシーケンシャルログ分析をテレメトリデータで実行したところ、さらに「無料」のサービスをいくつか発見することができました。見つかったサービスをテストした結果、すべてが同じスキームを共有していることがわかりました。
調査中に発見された不審なサイトを、以下にいくつか示します。
alllivesport[.]com
(広告サイト)
=>(アフィリエイトサイトにリダイレクト)
=>(詐欺の可能性があるランディングページ、偽情報で無料アカウントを作成)
=>(ユーザーが入力した情報をfastplayz[.]comと共有)
注:URL情報パラメータには、 入力したメールアドレスとパスワードがBase64でエンコードされた状態で含まれています。
Base 64デコードによって生成:{"username":"test@hotmail[.]com","password":"IamAPassword"}
=>(クレジットカード確認ページ)
live-sport-streams[.]com
このサイトは、alllivesport[.]comに酷似しています。
(宣伝サイト)
=>(動的なリダイレクター1)
または
=>(動的なリダイレクター2)
=>(詐欺の可能性があるランディングページ、Eメールアドレスとパスワードで無料アカウントを作成)
=>(ユーザーが入力した情報をgamepopz[.]comと共有)
注:URL情報パラメータには、 入力したメールアドレスとパスワードがBase64でエンコードされた状態で含まれています。
Base 64デコードによって生成:{"username":"test@hotmail[.]com","password":"IamAPassword"}
=>(クレジットカード確認ページ)
不審な電子ブック広告サイト:best-online-books[.]com
このサイトは、ユーザーが新たに作成したアカウントの情報を、平文で他のサイトと共有します。
(広告サイト)
=>(ユーザーが新たに入力した情報を他のサイトと平文で共有)
または
この2つのWebサイトは酷似しています。
いくつかのランディングページが同じ無料のアカウントテンプレートを使用しているようです。これは、同じ犯罪者グループが関与している可能性を示唆しています。
alllivesport[.]comのランディングページ
movie-streams-online[.]comのランディングページ
hxxp://ebook0919a2b[.]club/
hxxp://epicofebook[.]com/
hxxps://spinbook[.]net/
hxxps://mediabks[.]com/
hxxps://www.nwcbooks[.]com/
hxxp://find-files[.]com/
hxxps://just-watch-it[.]com/
hxxps://allsports4free[.]live/
hxxps://rugbyworldcup[.]xyz/
hxxps://2019rugbyworldcup[.]online/
hxxp://rugbychampionship2019[.]info/live/
hxxps://movie-streams-online[.]com/
hxxps://live-sport-streams[.]com/
hxxps://allsports4free[.]live/
hxxps://coreplays[.]com/
hxxps://best-online-books[.]com/
hxxps://vibeall[.]com/
hxxp://ebook0919a2b[.]club/
74lhpp2gt696[.]com
97oxono2oszo[.]com
a1qrfcnpvgbonol[.]com
ahf8n[.]com
book88c[.]club
cbegnypbairlnaprvv[.]com
checkebooks[.]download
crsrva24yz9s0[.]com
d10e2mfu67ch[.]com
dl11a[.]club
downloadplayer[.]xyz
ebooksonline[.]site
eecain7y[.]com
eecain7z[.]com
get-movies[.]club
get-sports[.]club
good-read[.]club
ing6liey[.]com
live-sports[.]me
mlb-streams[.]club
movie-plex[.]club
moviesfree[.]site
ms3t[.]club
nagubalnqfvi[.]com
ohmoo7ie[.]com
qnirnqfvi[.]com
qnirqryvirelv[.]com
recommendedforyou[.]xyz
rei6ohka[.]com
secure2t5z3[.]com
seyai0ui[.]com
shil8[.]com
soccer-streams[.]club
sports99[.]club
streamsportslive[.]online
taew5[.]com
ue3zaini[.]com
vod78d[.]club
wnzvrqryvirelv[.]com
xl415[.]com
xmediaserve[.]com
xoyoun5j8yzi[.]com
yxyug24kwhqe[.]com
zeezi4ei[.]com
hxxp://74lhpp2gt696[.]com/tuname.php
hxxp://97oxono2oszo[.]com/tuname.php
hxxp://a1qrfcnpvgbonol[.]com/tuname.php
hxxp://ahf8n[.]com/tuname.php
hxxp://cbegnypbairlnaprvv[.]com/tuname.php
hxxp://checkebooks[.]download/tuname.php
hxxp://d10e2mfu67ch[.]com/tuname.php
hxxp://eaudio.checkebooks[.]download/tuname.php
hxxp://ebooks.checkebooks[.]download/tuname.php
hxxp://eecain7y[.]com/tuname.php
hxxp://eecain7z[.]com/tuname.php
hxxp://epdf.checkebooks[.]download/tuname.php
hxxp://epud.checkebooks[.]download/tuname.php
hxxp://eread.checkebooks[.]download/tuname.php
hxxp://fb[.]downloadplayer[.]xyz/tuname.php
hxxp://ing6liey[.]com/tuname.php
hxxp://nagubalnqfvi[.]com/tuname.php
hxxp://ohmoo7ie[.]com/tuname.php
hxxp://qnirnqfvi[.]com/tuname.php
hxxp://qnirqryvirelv[.]com/tuname.php
hxxp://rei6ohka[.]com/tuname.php
hxxp://secure2t5z3[.]com/tuname.php
hxxp://seyai0ui[.]com/tuname.php
hxxp://shil8[.]com/tuname.php
hxxp://sports99[.]club/tuname.php
hxxp://taew5[.]com/tuname.php
hxxp://ue3zaini[.]com/tuname.php
hxxp://vod78d[.]club/tuname.php
hxxp://wnzvrqryvirelv[.]com/tuname.php
hxxp://www.xl415[.]com/tuname.php
hxxp://www.xoyoun5j8yzi[.]com/tuname.php
hxxp://www1.xmediaserve[.]com/tuname.php
hxxp://xoyoun5j8yzi[.]com/tuname.php
hxxp://yxyug24kwhqe[.]com/tuname.php
hxxp://zeezi4ei[.]com/tuname.php
hxxp://book88c[.]club/tuname.php
hxxp://crsrva24yz9s0[.]com/tuname.php
hxxp://dl11a[.]club/tuname.php
hxxp://ebooksonline[.]site/tuname.php
hxxp://eecain7z[.]com/tuname.php
hxxp://fb.get-movies[.]club/tuname.php
hxxp://fb.get-sports[.]club/tuname.php
hxxp://fb.good-read[.]club/tuname.php
hxxp://fb[.]live-sports[.]me/tuname.php
hxxp://fb.mlb-streams[.]club/tuname.php
hxxp://fb.movie-plex[.]club/tuname.php
hxxp://fb.recommendedforyou[.]xyz/tuname.php
hxxp://fb.soccer-streams[.]club/tuname.php
hxxp://moviesfree[.]site/tuname.php
hxxp://ms3t[.]club/tuname.php
hxxp://rei6ohka[.]com/tuname.php
hxxp://seyai0ui[.]com/tuname.php
hxxp://shil8[.]com/tuname.php
hxxp://sports99[.]club/tuname.php
hxxp://streamsportslive[.]online/tuname.php
hxxp://taew5[.]com/tuname.php
hxxp://ue3zaini[.]com/tuname.php
hxxp://vod78d[.]club/tuname.php
hxxp://wnzvrqryvirelv[.]com/tuname.php
hxxp://zeezi4ei[.]com/tuname.php
168.88.170.2
172.217.28.108
172.31.53.140
172.96.187.211
179.43.176.163
198.19.97.17
209.85.202.211
209.99.40.222
209.99.40.223
216.58.223.236
37.1.202.16
37.1.223.152
62.217.251.222
67.227.226.240
78.140.181.169
78.140.181.183
78.140.181.188
78.140.190.230
このように、無料ストリーミングWebサイトには巧妙な仕掛けが施されている可能性があるため、注意が必要です。「ラグビーワールドカップの無料ストリーミングサイト」というキーワードでインターネット検索を行うと、1億1,000万ものWebサイトがヒットします。その多くが不審なサイトであり、マルウェアが仕込まれている危険があります。スポーツをオンラインで視聴する場合には、正規の有料ストリーミングサービスの利用をお勧めします。
FortiGuard LabsおよびFortiGuardセキュリティサービスのポートフォリオの詳細については、こちらをご覧ください。FortiGuard Labsは、脅威インテリジェンスブリーフ(英語)を毎週お届けしています。ぜひご購読ください。
セキュリティ監査とベストプラクティスを提供するFortiGuard セキュリティレーティングサービスについては、こちらをご参照ください。