Slapdash Safeguards

にわか仕込みのセキュリティ

Google TranslateとFirebase Hostingを使用したフィッシング攻撃「GTFire」

by skybreaker 脅威情報

Group-IBの調査より、Googleの所有ドメインを使用したフィッシング攻撃が確認された。

使用されるドメインは、Google翻訳(Google Translate)に関係する*.translate.goog、Firebaseに関係する*.web.app.

*.translate.googをメールやら改ざんサイトやらで送信し、リダイレクトを複数重ねて、*.web.appに繋いだとのこと。

*.web.appがフィッシング本サイトで、特に入口と最後のドメインはGoogle所有ドメインなのでブロックさてにくい。

GTFire Phishing Scheme: Avoiding Detection Using Google Services | Group-IB Blog

Google翻訳でフィッシングってどういうこと?

Google翻訳にはWebサイトを指定して、翻訳する機能がある。

Google翻訳の翻訳Webサイト指定ページ(https://translate.google.co.jp/?hl=ja&sl=auto&tl=eo&op=websites)

ここで入力されたWebサイトが翻訳されたページが表示される。このとき、翻訳されたWebサイトは元のドメインではなくて、*.translate.googが付いたドメインになっている。

このサイトをエスペラント語にしてみた(https://www-sdsg-moe.translate.goog/?x_tr_sl=auto&x_tr_tl=eo&x_tr_hl=ja&x_tr_pto=wapp)

実際に試してみると、確かにドメインがwww-sdsg-moe.translate.googというgoogle所有のドメインになっている。

この生成されたURLはもちろんGoogleが所有するドメインで、直接アクセスすることも可能。

ただし、ドメインだけに直接アクセスすることはできなさそう。

Google翻訳ドメインに直アクセスを試みたがダメ(https://www-sdsg-moe.translate.goog/)

しかし、Google所有のドメインを使用できるという面では十分。

そして、*.web.appはよくよく知られたFirebaseドメイン。
firebase.google.com

このように*.translate.googから、Firebaseのデプロイに使用される*.web.appにリダイレクトさせることでGoogle所有ドメインだけで検知されにくいフィッシングインフラを構築した。

大手企業所有のドメインを使用したフィッシングは度々目にする

うちの記事でも偶に話題にあげる正規ドメインを使用した攻撃。
www.sdsg.moe

www.sdsg.moe

正直今回の*.translate.googを使用したフィッシングは明らかに怪しいので、あんまり引っかかって欲しくないが。引っかかるのか?

正規ドメインを使用した攻撃はまだまだ沢山ありそうなので、定期的にキャッチアップしていく。

個人的には、最近Vercelを使用した偽サイトやフィッシングが大量発生しているような気がする。
vercel.com