threat-research

ラグビーワールドカップの無料ストリーミングは反則のサービス

インターネットは、情報とエンターテイメントの宝庫です。それと同時に、不正行為、詐欺、偽情報などで、個人データや財務データを悪用しようとする戦術も溢れています。話題の国際的なイベントは、個人の財務データを盗もうとするサイバー犯罪者の格好の標的です。

サイバー犯罪者は、さまざまな戦略を駆使してイベントの視聴者を狙っています。現在日本で開催されているラグビーワールドカップも、このようなイベントの1つです。アジアまで足を運べない多くのファンが、無料のストリーミングサービスやスポーツアプリケーションのダウンロードを利用して、お気に入りのチームに関する最新情報にアクセスしています。ところが、残念ながら無料のサービスほど高く付くものです。

私たちは先頃、FortiGuard Labsのドメインデータフィードの調査中、不審なサイト(rugbyworldcup[.]xyz)を発見しました。これは、ワールドカップの無料ライブストリーミングを宣伝するサイトでした。Webサイトのリンクをたどっていくと、クレジットカード情報の入力を求める詐欺サイトに行き着きました。無料を謳っているにもかかわらず、実は無料ではありませんでした。

rugbyworldcup[.]xyzの調査中、動的なリダイレクターであるsports99[.]clubにアクセスしたところ、動画、音楽、eBookを無料で提供する無料サービスサイトがさらに見つかりました。

独自仕様のシーケンシャルログ分析をテレメトリデータで実行したところ、さらに「無料」のサービスをいくつか発見することができました。見つかったサービスをテストした結果、すべてが同じスキームを共有していることがわかりました。

  • 無料サービスのプロモーションを行う宣伝サイト
    • 無料動画の視聴とダウンロード
    • 無料eBookのダウンロード
    • スポーツの生中継の無料視聴
  • 宣伝サイトが、1つまたは複数のアフィリエイトネットワークにリンク、または「無料」と謳うサービスサイトにユーザーを誘導します。
  • 無料サービスサイト(広告サイト)が、メールアドレスとパスワードを入力してアカウントを作成するようにユーザーを促します。
  • 無料サービスサイトは、入力されたユーザー情報を1つまたは複数の外部サイトと共有し(一部は平文で転送していました!)、ユーザーを最終的なアカウント確認サイトに誘導します。
  • アカウント確認サイトでは、アカウントの「確認」という名目で、クレジットカード情報の入力を促します。ユーザーがクレジットカード情報を送信しないと、無料アカウントは作成されません。
  • 「サービスを無料で提供しているはずの会社からクレジットカードの請求が行われるのは不正だ」というユーザーのオンラインレビューからも、これが詐欺サイトであることがわかります。

調査中に発見された不審なサイトを、以下にいくつか示します。


不審なスポーツ広告サイト1:

alllivesport[.]com
(広告サイト)

  • hxxps://rugbyworldcup[.]xyz/#Rugby_World_Cup_2019_Teams
  • hxxps://2019rugbyworldcup[.]online/
  • hxxp://rugbychampionship2019[.]info/live/

=>(アフィリエイトサイトにリダイレクト)

  • hxxp://www.affforce[.]com/scripts/un981c6l?a_aid=d022be2e&a_bid=70104349

=>(詐欺の可能性があるランディングページ、偽情報で無料アカウントを作成)

  • hxxps://alllivesport[.]com/sp2/?bg=rwc2019.jpg&a=2&clickid=5d850ce60a5df4000155f4b3&pubid=8922&q=WATCH%202019%20RUGBY%20WORLD%20CUP%20LIVE

fig.01

=>(ユーザーが入力した情報をfastplayz[.]comと共有)

  • hxxps://fastplayz[.]com/registration?theme=allsports-direct&v_id=463adf18-fa93-4d81-fc8e-db1ab8337ec4&info=eyJ1c2VybmFtZSI6InRlc3RAaG90bWFpbC5jb20iLCJwYXNzd29yZCI6IklhbUFQYXNzd29yZCJ9%3D&a_aid=864kjuyuio54&page=allsports-direct&clickid=5d850ce60a5df4000155f4b3&pubid=8922

注:URL情報パラメータには、 入力したメールアドレスとパスワードがBase64でエンコードされた状態で含まれています。

Base 64デコードによって生成:{"username":"test@hotmail[.]com","password":"IamAPassword"}

=>(クレジットカード確認ページ)

  • hxxps://fastplayz[.]com/subscriptions/checkoutaff/allsports-direct

fig.02


不審なスポーツ広告サイト2:

live-sport-streams[.]com

このサイトは、alllivesport[.]comに酷似しています。
(宣伝サイト)

  • hxxps://rugbyworldcup[.]xyz/
  • hxxps://www.rugbyworldcupjp[.]com/live/

=>(動的なリダイレクター1)

  • hxxps://sports99[.]club/tuname.php?&d=1&z=31672&lpage=s-dual-rugby&c_bg=%2F%2Fimg.codes%2FuftjcYhic&c_img1=%2F%2Fimg.codes%2F4LmsIiQic&q=Rugby+World+Cup+Japan+2019+Live+Stream

または
=>(動的なリダイレクター2)

  • hxxps://www.affforce[.]com/scripts/un981c6l?a_aid=d022be2e&a_bid=d8ec0a95

=>(詐欺の可能性があるランディングページ、Eメールアドレスとパスワードで無料アカウントを作成)

  • hxxps://live-sport-streams[.]com/9375-5-d5cecf7a/signup-dual/rugby/#/z=47401/dp=3479603723.537103.287de6b56d.31672.5a7af23a64dbdb158e830c9b8a56e98f/c_bg=%2F%2Fimg.codes%2FuftjcYhic/c_img1=%2F%2Fimg.codes%2F4LmsIiQic/c_img2={c_img2_enc}/q=Rugby+World+Cup+Japan+2019+Live+Stream/

fig.03

=>(ユーザーが入力した情報をgamepopz[.]comと共有)

  • hxxps://gamepopz[.]com/registration?theme=allsports-direct&v_id=ef789c59-a352-0539-4ade-fd39382dc784&info=eyJ1c2VybmFtZSI6InRlc3RAaG90bWFpbC5jb20iLCJwYXNzd29yZCI6IklhbUFQYXNzd29yZCJ9&page=allsports-direct&pubid=47401&clickid=3479603723.537103.b911a2a2f5.31672.e9f57fe10e56cad9b34aa4ccb14a326c&a_aid=514b2121ef654

注:URL情報パラメータには、 入力したメールアドレスとパスワードがBase64でエンコードされた状態で含まれています。

Base 64デコードによって生成:{"username":"test@hotmail[.]com","password":"IamAPassword"}

=>(クレジットカード確認ページ)

  • hxxps://gamepopz[.]com/subscriptions/checkoutaff/allsports-direct

fig.04

不審な電子ブック広告サイト:best-online-books[.]com

このサイトは、ユーザーが新たに作成したアカウントの情報を、平文で他のサイトと共有します。
(広告サイト)

  • hxxps://get-ebooks[.]club/book/3.Harry_Potter_and_the_Sorcerer_s_Stone
=>(アフィリエイトリダイレクター) 簡潔にするために省略
=>(詐欺の可能性のあるランディングページ、偽情報で無料アカウントを作成)
  • hxxps://best-online-books[.]com/9375-4-1ce92b4a/signup-spry/#/z=46801/dp=3479603723.537428.2c19c4bf94.31267.680a50433aab8811514339d8a244cfd3/q=Harry+Potter+and+the+Sorcerer%27s+Stone/

fig.05

=>(ユーザーが新たに入力した情報を他のサイトと平文で共有)

  • hxxps://email.perfectvalidation[.]com/push/?trafficsource=MH&email=test%40hotmail[.]com&zoneid=46801&clickid=3479603723.537422.3c26400f88.31267.064ed18a92f851ae8c940e181f450dd0&tags%5B%5D=books&query=Harry%20Potter%20and%20the%20Sorcerer%27s%20Stone
  • hxxp://runslin[.]com/?email=test%40hotmail[.]com&password=IamAPassword&a_aid=MhB&data3=&data4=pc&a_bid=b7920773&data1=46801&data2=3479603723.537422.3c26400f88.31267.064ed18a92f851ae8c940e181f450dd0
=>(クレジットカード確認ページ)
  • hxxps://vibeall[.]com/joinnow/step2.php

fig.06

または

  • hxxps://viewhall[.]com/joinnow/step2.php

fig.07

この2つのWebサイトは酷似しています。

被害者が投稿したレビュー:
  • hxxps://www.scamadviser[.]com/check-website/viewhall[.]com
  • hxxps://www.scamadviser[.]com/check-website/vibeall[.]com

類似しているランディングページ

いくつかのランディングページが同じ無料のアカウントテンプレートを使用しているようです。これは、同じ犯罪者グループが関与している可能性を示唆しています。

alllivesport[.]comのランディングページ

fig.08

movie-streams-online[.]comのランディングページ

fig.09


詐欺の可能性があるIOC

無料サービスの広告サイト

hxxp://ebook0919a2b[.]club/
hxxp://epicofebook[.]com/
hxxps://spinbook[.]net/
hxxps://mediabks[.]com/
hxxps://www.nwcbooks[.]com/
hxxp://find-files[.]com/
hxxps://just-watch-it[.]com/
hxxps://allsports4free[.]live/
hxxps://rugbyworldcup[.]xyz/
hxxps://2019rugbyworldcup[.]online/
hxxp://rugbychampionship2019[.]info/live/

無料ストリーミングのランディングページ

hxxps://movie-streams-online[.]com/
hxxps://live-sport-streams[.]com/
hxxps://allsports4free[.]live/

無料eBookのランディングページ

hxxps://coreplays[.]com/
hxxps://best-online-books[.]com/
hxxps://vibeall[.]com/
hxxp://ebook0919a2b[.]club/

動的なリダイレクタードメイン

74lhpp2gt696[.]com
97oxono2oszo[.]com
a1qrfcnpvgbonol[.]com
ahf8n[.]com
book88c[.]club
cbegnypbairlnaprvv[.]com
checkebooks[.]download
crsrva24yz9s0[.]com
d10e2mfu67ch[.]com
dl11a[.]club
downloadplayer[.]xyz
ebooksonline[.]site
eecain7y[.]com
eecain7z[.]com
get-movies[.]club
get-sports[.]club
good-read[.]club
ing6liey[.]com
live-sports[.]me
mlb-streams[.]club
movie-plex[.]club
moviesfree[.]site
ms3t[.]club
nagubalnqfvi[.]com
ohmoo7ie[.]com
qnirnqfvi[.]com
qnirqryvirelv[.]com
recommendedforyou[.]xyz
rei6ohka[.]com
secure2t5z3[.]com
seyai0ui[.]com
shil8[.]com
soccer-streams[.]club
sports99[.]club
streamsportslive[.]online
taew5[.]com
ue3zaini[.]com
vod78d[.]club
wnzvrqryvirelv[.]com
xl415[.]com
xmediaserve[.]com
xoyoun5j8yzi[.]com
yxyug24kwhqe[.]com
zeezi4ei[.]com

動的にリダイレクトするURL(クエリパラメータを削除)

hxxp://74lhpp2gt696[.]com/tuname.php
hxxp://97oxono2oszo[.]com/tuname.php
hxxp://a1qrfcnpvgbonol[.]com/tuname.php
hxxp://ahf8n[.]com/tuname.php
hxxp://cbegnypbairlnaprvv[.]com/tuname.php
hxxp://checkebooks[.]download/tuname.php
hxxp://d10e2mfu67ch[.]com/tuname.php
hxxp://eaudio.checkebooks[.]download/tuname.php
hxxp://ebooks.checkebooks[.]download/tuname.php
hxxp://eecain7y[.]com/tuname.php
hxxp://eecain7z[.]com/tuname.php
hxxp://epdf.checkebooks[.]download/tuname.php
hxxp://epud.checkebooks[.]download/tuname.php
hxxp://eread.checkebooks[.]download/tuname.php
hxxp://fb[.]downloadplayer[.]xyz/tuname.php
hxxp://ing6liey[.]com/tuname.php
hxxp://nagubalnqfvi[.]com/tuname.php
hxxp://ohmoo7ie[.]com/tuname.php
hxxp://qnirnqfvi[.]com/tuname.php
hxxp://qnirqryvirelv[.]com/tuname.php
hxxp://rei6ohka[.]com/tuname.php
hxxp://secure2t5z3[.]com/tuname.php
hxxp://seyai0ui[.]com/tuname.php
hxxp://shil8[.]com/tuname.php
hxxp://sports99[.]club/tuname.php
hxxp://taew5[.]com/tuname.php
hxxp://ue3zaini[.]com/tuname.php
hxxp://vod78d[.]club/tuname.php
hxxp://wnzvrqryvirelv[.]com/tuname.php
hxxp://www.xl415[.]com/tuname.php
hxxp://www.xoyoun5j8yzi[.]com/tuname.php
hxxp://www1.xmediaserve[.]com/tuname.php
hxxp://xoyoun5j8yzi[.]com/tuname.php
hxxp://yxyug24kwhqe[.]com/tuname.php
hxxp://zeezi4ei[.]com/tuname.php
hxxp://book88c[.]club/tuname.php
hxxp://crsrva24yz9s0[.]com/tuname.php
hxxp://dl11a[.]club/tuname.php
hxxp://ebooksonline[.]site/tuname.php
hxxp://eecain7z[.]com/tuname.php
hxxp://fb.get-movies[.]club/tuname.php
hxxp://fb.get-sports[.]club/tuname.php
hxxp://fb.good-read[.]club/tuname.php
hxxp://fb[.]live-sports[.]me/tuname.php
hxxp://fb.mlb-streams[.]club/tuname.php
hxxp://fb.movie-plex[.]club/tuname.php
hxxp://fb.recommendedforyou[.]xyz/tuname.php
hxxp://fb.soccer-streams[.]club/tuname.php
hxxp://moviesfree[.]site/tuname.php
hxxp://ms3t[.]club/tuname.php
hxxp://rei6ohka[.]com/tuname.php
hxxp://seyai0ui[.]com/tuname.php
hxxp://shil8[.]com/tuname.php
hxxp://sports99[.]club/tuname.php
hxxp://streamsportslive[.]online/tuname.php
hxxp://taew5[.]com/tuname.php
hxxp://ue3zaini[.]com/tuname.php
hxxp://vod78d[.]club/tuname.php
hxxp://wnzvrqryvirelv[.]com/tuname.php
hxxp://zeezi4ei[.]com/tuname.php

リダイレクターのホスティングIP

168.88.170.2
172.217.28.108
172.31.53.140
172.96.187.211
179.43.176.163
198.19.97.17
209.85.202.211
209.99.40.222
209.99.40.223
216.58.223.236
37.1.202.16
37.1.223.152
62.217.251.222
67.227.226.240
78.140.181.169
78.140.181.183
78.140.181.188
78.140.190.230


このように、無料ストリーミングWebサイトには巧妙な仕掛けが施されている可能性があるため、注意が必要です。「ラグビーワールドカップの無料ストリーミングサイト」というキーワードでインターネット検索を行うと、1億1,000万ものWebサイトがヒットします。その多くが不審なサイトであり、マルウェアが仕込まれている危険があります。スポーツをオンラインで視聴する場合には、正規の有料ストリーミングサービスの利用をお勧めします。


FortiGuard LabsおよびFortiGuardセキュリティサービスのポートフォリオの詳細については、こちらをご覧ください。FortiGuard Labsは、脅威インテリジェンスブリーフ(英語)を毎週お届けしています。ぜひご購読ください。

セキュリティ監査とベストプラクティスを提供するFortiGuard セキュリティレーティングサービスについては、こちらをご参照ください。