概要
サイバーセキュリティの専門家は、Zoomユーザーを標的とした新しい詐欺キャンペーンについて警告しています。このキャンペーンでは、偽のZoom会議ページが使用され、1,437人のWindowsユーザーが不正なモニタリングツールをインストールしました。
詳細
このスキャンは、uswebzoomus[.]com/zoom/というドメインを使用して開始されます。このドメインはZoomの公式インターフェースを模倣しており、ユーザーが偽のウェブサイトにアクセスすると、実際のZoom会議と同様の「待機室」画面が表示されます。
手口
合成参加者: 「Matthew Karlsson」「James Whitmore」「Sarah Chen」という名前の合成参加者が順次呼び出され、リアルタイムの音声とチャイムサウンドがバックグラウンドで再生されます。
被害
ダウンロード: ユーザーは「更新が利用可能」というポップアップを数秒後に見せられ、5秒のカウントダウン後、自動的にファイル(zoom_agent_x64_s-i(__941afee582cc71135202939296679e229dd7cced).msi)がダウンロードされます。
インストールと展開
インストール: このファイルは、ユーザーの許可なしにシステムのダウンロードフォルダで実行され、Teramindモニタリングエージェントとして機能します。このエージェントは、攻撃者のコントロール下にあるサーバーと通信し、ユーザーの活動を監視します。
対策
- ダウンロードしたファイル: ファイルを実行しないでください。
- インストールされた場合: C:\ProgramData\{4CEC2908-5CE4-48F0-A717-8FC833D8017A}ディレクトリを確認し、ファイルが存在するか確認します。
- コマンドプロンプトでのチェック: コマンドプロンプト(管理者として実行)で sc query tsvchst を実行して、STATE: 4 RUNNING が表示される場合はエージェントがアクティブであることを示します。
- パスワード変更: クリーンなデバイスからパスワードを変更し、IT部門に連絡して対策を行ってください。