フィッシング攻撃がZoom、Teams、Google Meetの偽会議招待とアップデート通知を悪用

概要

フィッシングキャンペーンが、Zoom、Microsoft Teams、およびGoogle Meetなどの人気ビデオ会議プラットフォームから送信された偽の会議招待や更新通知を利用してユーザーを標的としています。

これらの攻撃は、社会工学的手法を使用して企業ユーザーに「ソフトウェアアップデート」という形で悪意のあるファイルをダウンロードさせます。実際には、これらはリモート監視と管理（RMM）ツールであり、攻撃者が被害者のシステムに完全なリモートアクセスを獲得するためのものです。

信頼性のあるコラボレーションプラットフォームを利用して：攻撃者は、企業コミュニケーションチャネルを模倣して説得力のあるメール招待を配布します。
偽のリンクを使用：受取人は、zoom-meet.usやteams-updates.netなどのタイプスquatドメインにホストされた不審なリンクを通じて会議に参加したり、招待状を確認するように促されます。

偽のリンクをクリックすると、ユーザーはGoogle MeetやMicrosoft Teams、Zoomなどのプラットフォームの公式ログインまたは会議画面に似せた高度なフィッシングページにリダイレクトされます。

参加者リストを表示：これらのページは、他のユーザーが「参加」したと見せかける参加者リストやアクティブな会議インターフェースを表示することで、即座に行動するようユーザーを急かします。

ユーザーが偽の会議に参加しようとした場合、彼らはそのビデオ会議アプリケーションが古いか非互換であると警告されます。ポップアップメッセージで「重要な更新」をダウンロードしてインストールするよう指示します。

ビジネスの緊急性：攻撃者は、ユーザーが重要会議に参加することへの懸念を利用して、通常のセキュリティ注意を無視するよう誘導します。
RMMツールの利用：これらのフィッシングサイトは、RMMツール（Datto RMM、LogMeIn、ScreenConnectなど）をインストールする手順や進捗バーを表示することで信憑性を高めます。

これらのツールは通常、企業環境で事前に承認されており、リモート制御、ファイルアクセス、システム管理が可能でありながら、デジタル署名と合法的なものであるため、アンチウイルス検出やエンドポイントセキュリティコントロールを容易に回避します。

監視：組織はRMMツールの使用をネットワーク全体でモニタリングし、管理者権限を制限する必要があります。
教育：従業員に対して偽の更新通知に対する注意喚起を行います。
公式ドメインからのアップデート：ビデオ会議アプリケーションの更新は、公式ベンダーのドメインからしか配布されないようにし、セキュアな内部チャネルを通じて行われるようにします。

元記事: https://gbhackers.com/fake-meeting-invites-and-update/