フィッシングキット”16Shop”がAmazonをターゲットに

脅威情報
2019.7.17

2018年11月上旬以来、McAfee Labsは16Shopと呼ばれるフィッシングキットが、悪意ある犯罪者から使用され、米国および日本のAppleアカウント所有者がターゲットとされていることを発見しました。通常、被害者はpdfファイルが添付された電子メールを受け取ります。

電子メール内のメッセージの例を添付の翻訳とともに以下に示します。

被害者が添付のpdfファイル内のリンクをクリックすると、クレジットカード情報を含むアカウント情報の更新を促すフィッシングサイトにリダイレクトされてしまい、騙されるケースが発生しています。

以下は、フィッシングメールに添付されている多数のpdfファイルのうちの1つです。

以下はフィッシィングページです。

以下は、フィッシングページの入力フォームです。これらの情報が盗まれ犯罪者に渡ることになります。

次の地図は、このフィッシングキャンペーンを観測した場所を示しています。

このフィッシングキャンペーンの作成者は、変換サイトPdfcrowd.comを悪用して、フィッシングメールに添付されている悪質なpdfファイルを作成しました。（pdfタグは以下の通りです）：

1 16Shopフィッシングキット
2 16Shopの作者
3 最近の情報とAmazonへの切り替え
4 結論

16Shopフィッシングキット

フィッシングキットはインドネシアで作成されたもので、コードは複数の言語を処理します。

ほとんどのフィッシングキットは、サイトに入力されたクレジットカードとアカウントの詳細を悪意のある犯罪者に直接電子メールで送信します。16Shopキットもこれを行い、ローカルコピーを他のテキストファイルに保存します。攻撃者がデフォルトのままの設定を使用している場合、このサイトを訪れる人は誰でもクリアテキストファイルをダウンロードすることができるようになっているといった弱点もあります。

一方で、このキットには、特定のIPアドレスがWebサイトにアクセスするのをブロックするローカルブラックリストが含まれています。このブラックリストには、マカフィーを含むセキュリティ会社のIPが多数含まれています。ブラックリストは、マルウェア研究者がフィッシングサイトにアクセスすることを防ぎます。スニペットを以下に示します。

コードを見ながら、作成者のタグのように思われるいくつかのコメントを確認しました。

16Shopの作成者は、フィッシングメールを生成して送信するためのツールも開発しました。私たちはなんとかコピーを入手して分析しました。

上記の設定は、攻撃者が電子メールの送信元アドレスだけでなく件名フィールドを設定する方法を示しています。ソースファイルを調べている間に、list.txtというファイルに気付きました。このファイルには、フィッシャーが送信するEメールアドレスのリストが含まれています。サンプルファイルでは、アドレス riswandanoor@yahoo.comを使用しています。

この電子メールは、フィッシングキットからのコメントの中の名前とともに、キットの作成者についての詳細を潜在的に私達に伝えるかもしれません。

16Shopの作者

このキットの作者は、DevilScreaMです。この人物に関する多くの情報を収集したところ、この個人はインドネシアのハッキンググループ「Indonesian Cyber Army」に関与していたことがわかりました。2012年には、いくつかのサイトが、このグループによって改ざんされ、DevilScreaMによってタグ付けされました。

DevilScreaMが、インドネシアのサイバー軍のメンバーが頻繁に訪れるインドネシアのハッキングツールサイトNewbie-Security.or.idを作成しました。DevilScreaMによって書かれた2冊の電子ブックも発見しました。Webサイトのハッキングや侵入テストに関するアドバイスが含まれています。

DevilScreaMの活動のスケジュールは、2012年後半から2013年半ばにかけて著しい変化を示しました。DevilScreaMは、Webサイトの改ざんを止め、インドネシア市場向けのマルウェア対策製品ScreaMAVを作成しましたが、この「ホワイトハット」の活動は続きませんでした。2013年半ばに、彼らは再びサイトの改ざんを行い、0day.todayにWordPressの脆弱性を中心にエクスプロイトを投稿し始めました。

DevilScreaMのGitHubページには、侵入先のWebサイトで使用されているPHPリモートシェルやz1miner Monero（XMR）マイナーツールへのコミットなど、さまざまなツールが含まれています。2017年末、DevilScreaMは16Shopフィッシングキットを作成し、ライセンスとサポートを販売するためにFacebookグループを設立しました。2018年11月には、このプライベートグループは200人以上のメンバーがいました。2019年6月中旬にグループをチェックしたところ、300以上のメンバーと200以上の投稿がありました。疑わしいコンテンツにもかかわらず、グループはソーシャルメディアで変わらずに持続するだけでなく、成長し続けています。

McAfeeはFacebookにこのグループの存在を通知しました。ソーシャルネットワークは、このような悪意のあるコンテンツで取引を行っているグループを解体するという最近数カ月の間に積極的な姿勢を取りました。

最近の情報とAmazonへの切り替え

2019年5月、いくつかのブログが公開され、16Shopのとあるバージョンが解読され、その中にはすべてのデータを電文でキットの作者に送信するバックドアが含まれていたことが強調されています。11月に分析したバージョンにはこれが存在しないことを確認できます。これらのことから、このバックドアは、16Shopの最初の作者ではなく、2人目の悪意のある作者によって追加されたものと考えられます。