Microsoft 365狙うBiTBフィッシング、偽OAuthウィンドウ悪用

Microsoft 365狙うBiTBフィッシング、偽OAuthウィンドウ悪用

最近確認されたBrowser-in-the-Browser（BiTB）フィッシング攻撃では、偽のOAuthログインウィンドウを利用してMicrosoft 365の認証情報を窃取する手法が確認されている。

分析によると、この攻撃ではブラウザ内に表示されるポップアップが実際の認証ウィンドウを模倣して作成されている。表示される画面にはMicrosoft 365のログイン画面に類似した要素が含まれており、利用者を認証プロセスへ誘導する構成となっている。

また、これらのポップアップは通常のブラウザウィンドウと似た外観を持ち、アドレスバーやウィンドウ枠などの要素も再現されていることが報告されている。研究者によると、利用者が正規の認証画面と誤認する可能性がある設計となっている。

今回の事例は、OAuth認証フローを模倣したBiTB（Browser-in-the-Browser）型フィッシングキャンペーンとして分析されている。

BiTBフィッシングの運用手法と分析妨害機能を確認

BiTB（Browser-in-the-Browser）フィッシングでは、一般的なWeb技術を利用してブラウザ内に認証ウィンドウを模倣した画面を生成する。分析によると、攻撃者は利用者のブラウザ環境やOS情報に応じて表示内容を調整し、対象サービスの認証画面に類似したインターフェースを表示している。

また、本キャンペーンでは認証情報の入力画面だけでなく、分析や調査を妨げるための機能も確認されている。研究者によると、一部のサンプルではデバッグ機能の妨害、コードの分割・難読化、自動化ツールに対するリダイレクト処理などが組み込まれていた。

さらに、アクセス元の環境によって異なるコンテンツを表示する仕組みも確認されており、セキュリティ研究者や自動分析システムに対して別のページを表示するケースが報告されている。

今回の事例は、OAuth認証画面を模倣したフィッシング機能と、分析妨害機能を組み合わせたBiTBキャンペーンとして報告されている。研究者らはMicrosoft 365以外のサービスでも類似の手法が利用される可能性について継続的に調査を進めている。