広がるEvilProxy

EvilProxyはフィッシングキットです。
2023年8月にも大規模なキャンペーンが確認されていましたが、再びキャンペーンが展開されています。
今度は求人情報を装ったキャンペーンとなっています。

求人情報のリンクを含むメールが届く
メールに記載のURLには、indeedの文字が含まれます。
多くの求人情報を扱っているサイトであることを期待して、メールの受信者はURLをクリックします。
オープンリダイレクト
メールの受信者はindeedのURLを参照しているつもりなのですが、そのURLには、オープンリダイレクトが設定されています。
要求されたWebページが一時的に別の場所にあることを意味するHTTPステータスコードである302が返されます。
302で転送された先のコンテンツで、さらに別のURLに302で転送されます。
フィッシングページにたどり着く
302で転送された結果、ユーザのWebブラウザには、フィッシングページが表示された状態になります。
このサイトには、EvilProxyが設置されています。
画面にログイン認証が表示される
EvilProxyが認証画面を表示します。
画面に表示されている内容は、Microsoft Onlineログインページに見えます。
が、それは正規のサイトではありません。
ログインする
Web閲覧者が表示されたログイン画面でログインを実行します。
攻撃者はEvilProxyを間に置くことで、正規のMicrosoft Onlineログインで利用できる認証cookieを取得します。

この攻撃キャンペーンそのもので失うものはMicrosoft Onlineにログインできる権限情報であるといえます。
これそのものが直接の被害となるというよりも、この情報を使うことでその後ろにより大きな被害が発生する元となることが考えられます。
攻撃者は被害者のアカウントとしてMicrosoft Onlineを操作できますので、他人に完全に成りすましてMicrosoft Onlineを利用することができます。
そうです、ビジネスメール詐欺に至る可能性があるということなのです。

EvilProxyはサブスク型のマルウェアで、容易に入手することが可能です。
これからも数々の攻撃キャンペーンが展開されてしまう可能性が考えられます。
自分のアクセスしているWebサイトがどこなのか、いま実施しようとしている操作は必要なものなのか、といった自問が必要ということに思えます。