2022年第1四半期にFake Anti-Virus (ニセウイルス対策ソフト)のフィッシングページの数が顕著に増加していることが判明しました。毎日行っているフィッシング詐欺のスキャンでは、これらの詐欺ページのソースコードに出くわすことは(あったとしても)ほとんどありません。しかし、今年の第1四半期だけで、WindowsとAppleデバイスのユーザーをターゲットにした50以上のサンプルを収集しました。
これまでに収集されたキットは、共通の開発テンプレートに緩く基づいていますが、フラットな検出に関しては、ややユニークさを保つために十分なバリエーションがあります。これらの詐欺のページに対するキットハンターの検出は、今朝早く更新されました。
ニセウイルス対策ソフト
ウイルス対策ソフトの詐欺ページは、Windows XPの時代から20年ほど前から存在しています。これらは、ブラックハットSEO詐欺と関連していることが多いのですが、これらのドメインへのリンクは、フォーラムやブログのコメント、インスタントメッセージ、ソーシャルメディアを介して共有されることもあるのです。
ブラックハットSEOとは、人気のある検索キーワードを利用して、悪意のあるページをSERP(検索エンジン結果ページ)の上位に表示させる詐欺のことです。今日でも、ブラックハットSEOの手口は、大きなニュースイベントやトレンドトピックに関連していることが一般的です。ブラウザベースの攻撃の全盛期には、ブラックハットSEOは、ソフトウェアの脆弱性を狙ってマルウェアを拡散したり、人々を騙して偽のAVページを読み込ませたりするために使用されていました。当時は、Internet Explorerや、Flash、Shockwave、PDFといったAdobe製品などがよく標的とされていました。
ニセウイルス対策(Fake AV)は、ソーシャル系詐欺のカテゴリーに属します。つまり、Fake AVはフィッシングの典型例ではないものの、スタイルや機能は似ているのです。
この詐欺の手口は、「技術的な理解不足」と「恐怖心」という2つの要素に依存しています。技術的な理解とは、コンピュータの操作やセキュリティに関する知識の欠如、およびサポートの仕組みに関する一般的な誤解を中心としたものです。恐怖の要素は単純で、これらの詐欺ページのポップアップや警告の多くは、システム感染やモラル(例:ポルノ)の暴露などを口実にしたものです。偽AVのページでは、開発者や詐欺の範囲によって、問題のある検出と暴露が混在していることがあります。
Fake AVページの攻撃形式はまちまちです。ある種のダウンロードやインストールを要求する詐欺もあれば、(最近観測されたような)サポートに「電話」して支援を受けるよう被害者に要求するものもあります。
インストーラーを要求している場合、詐欺師は何を出してくるかわかりません。感染したシステムからファイルや機密情報を取得するマルウェアであったり、被害者のシステムに持続的にアクセスするソフトウェアであったりする可能性があります。
被害者が画面に表示された番号に電話をかけると、個人情報や金銭的な情報が危険にさらされるだけでなく、詐欺師が被害者のシステムに追加のソフトウェアをインストールする機会を与え、被害者がさらなる攻撃や迷惑を被る可能性があります。
偽ウイルス対策ソフトの例
今期これまでにダウンロードされたキットに見られるバリエーションの一例として、最も一般的な3つのキットの概要を紹介します。図1に見られるように、トップのターゲットはWindowsユーザーです。
それぞれの詐欺の手口には共通点があります。
1つ目は、ブラウザのウィンドウが、感染症やマルウェアの種類にまで言及したポップアップ、アラート、警告で埋め尽くされることです。時には、ブラウザがフルスクリーンに押し出され、被害者はこの変更を元に戻すことが困難になります。
- Windowsをターゲットにした詐欺は、警告を引き起こすセキュリティメカニズムとしてWindows Defenderを活用します。Windows Defenderは有名なブランドであり、被害者がその名前をグーグルで検索した場合、これらの詐欺のページでその名前が使われることで、すぐに正当性を示すことができるようになっているのです。
-
多くのブラウザの要素が無効化されるため、被害者はブラウザの制御をある程度失う。機能や制御を回復することは問題です。これは、感染を再現するためのもので、意図的なものです。
-
最後に、このような詐欺のページでは、偽のマウスポインタが表示され、マウス機能が完全に無効になるか、いくらか妨げられるようになっています。このような場合、偽のマウスポインターは画面上を動き回ることになる。これも感染を装ったものである。
また、共通する要素として、言語の切り替えがあります。偽AV詐欺のページの多くには、画面に表示されるテキストを被害者の母国語で表示するコード要素が含まれています。この翻訳には多少の欠陥があり、ネイティブスピーカーにスクリプトを書かせるのではなく、翻訳サービスを利用したことがうかがえます。
脅威情報を以下に記します。また、技術者でない家族や友人には、これらの脅威について警告し、危険にさらされないようにしてください。
サポート詐欺電話番号:
(050) 5806-7793
(050) 5534-0312
ドメイン:
044lacked[.]ga
124iteration[.]ga
202configured[.]ga
244iteration[.]ga
303foeproweiw[.]ga
388gwowowka[.]ga
388hwpwodnf[.]ga
487owppaasj[.]ga
532gigabyte[.]ga
588gwpwoek[.]ga
935lacked[.]ga
dbchebdjej[.]ga
dhshdbwb[.]ga
djrbrdeth[.]ga
fhtvjdgjt[.]ga
gr494lapeorwgr[.]ga
hdbcgfnsnm[.]ga
rl939malwaring[.]ga
vhagyionvah[.]ga
whfjgjg[.]ga
039bapwpdk[.]ml
042aoeowiwra[.]ml
388daowpwiw[.]ml
487hapqpwks[.]ml
584lurking[.]ml
638lapqkneps[.]ml
689lurking[.]ml
755gigabyte[.]ml
ejgdhvdf[.]ml
gr245gigabyte[.]ml
ib309madenaing[.]ml
nvbchdnvd[.]ml
rw424bundling[.]ml
yk498partically[.]ml
alexacartbox[.]online
balluthree[.]online
ci48nco[.]online
gloweranew[.]online
greatofalltime[.]online
lutinswipinfo[.]online
msg67jp8[.]online
onegoalsearch[.]online
otherservicesdomains[.]online
teamhourisimportant[.]online
dfgjdfgjdf1[.]xyz
dpillsnewgofit[.]xyz
expediagrouping[.]xyz
fghsdfghdgh7[.]xyz
letmefityou[.]xyz
cleaningkyotoservices[.]digital
priceamazing[.]digital
priceexcelsheet[.]digital
3mjbfdmvn[.]shop
claimeventgameterbaru[.]duckdns[.]org
passagiert[.]cf
rytjghsbdghjjh5[.]sbs
出典:Fake AV phishing spikes in Q1 2022:
