Bing検索で「カカオトーク」の上位3件がすべて中国発のフィッシング

Bing検索で「カカオトーク」の上位3件がすべて中国発のフィッシング

Bingで「カカオトーク」を検索すると、上位3件（apps-kakaocorp[.]com、apps-kakaotalk[.]com、pc-kakaotalk[.]com）がすべてフィッシング。インフラとコードを分析した結果は以下の通り。

• フィルタリング: Referer+UAがなければ500/403を返す（直接アクセスや自動スキャナーを回避）
• 中国インフラ: Tencent/DNSpod登録、51.la分析、og:locale=zh-cn、中国のTelegramアカウントと連携
• 登録: 3つのドメインを1秒間隔で一括登録、同一の/24サブネット、TLSは同日に発行
• マルウェア: .scrに偽装したNSISインストーラー → 管理者権限を要求 → DcryptDll.dllでペイロードを復号 → AppDataにドロップ
• 配布: 3つのドメインすべてが同一のCloudflare CDN URLへリダイレクト（download.i96l6[.]top、Alibaba Cloud）

肝心の本物のカカオトーク公式サイトは4位に押し下げられていた。Edgeの既定検索エンジンはBingのため、設定を変えていないユーザーにとってはかなり大きな脅威となる。

詳細内容

検知回避の構造がかなり巧妙。 検索エンジンの結果から流入したユーザーにのみフィッシングページを表示し、URLへの直接アクセスや自動スキャナーには空のページを返す。このため、urlscan.ioのような公開分析サービスでも検知されず、ユーザーが不審に思ってURLを直接確認しても何も表示されないため、通報につながりにくい構造になっている。

攻撃者の特定が比較的容易。 ソースコードには51.la（中国のWeb分析）追跡コード、og:locale=zh-cn、/wenzhang/（文章）パス、Telegram連絡先のハードコードなど、中国由来を示す指標が多数存在する。ドメイン登録はTencent/DNSpod、CDNはAlibaba Cloud経由。

3つのドメインは実質的に単一オペレーション。 Registry Domain IDが連番で、1秒間隔の一括登録、同一の/24サブネット、同一のフィルタリングロジック、同一のダウンロードURL。SEOの多様性を確保するため、メタデータだけを変えたテンプレート構造（seo_templates/index/zd/kk_1/2/3/）を使用している。

ダウンロード経路にセッションゲーティングを適用。 /downloadページにアクセス → PHPSESSIDクッキーを発行 → /download.php呼び出し時に302で外部CDN（download.i96l6[.]top）へリダイレクト。クッキーなしでdownload.phpに直接アクセスすると500を返す。

配布ファイルは.scr（スクリーンセーバー）拡張子を使ったPE実行ファイル。 NSIS v3.07インストーラーで、メタデータを「Kakao Corp. / KakaoTalk Setup」に偽装。管理者権限を要求し、内部にランタイム復号DLL（DcryptDll.dll）とWPS Office（Kingsoft）コンポーネントが同梱されている。正規ソフトウェアと悪性ペイロードを同時にインストールし、ユーザーの疑念を下げる手法だ。