サイバー犯罪者は偽のZoomとTeams会議を利用してマルウェアを配布
セキュリティ専門家は、サイバー犯罪者が偽のZoomやMicrosoft Teamsの会議を使用して、被害者に自身のシステムにマルウェアをインストールさせる手口が増えていることを警告しています。
攻撃の詳細
SEAL(Security Alliance)は、このオペレーションに関連する164の悪意のあるドメインをブロックするためにMetaMaskのeth-phishing-detectシステムを使用していると報告しています。このキャンペーンは主に暗号通貨専門家、Web3開発者、投資家を標的としていますが、最近ではオープンソースコミュニティにも拡大しています。
攻撃の手口
UNC1069は一般的なフィッシング攻撃とは異なり、忍耐と信頼に依存します。攻撃者は、TelegramやLinkedIn、Slackなどのプラットフォームで合法的なアカウントを取得し、ターゲットとの既存の会話を再開することで、攻撃が本物であるように見せかける。
マルウェア配布プロセス
予定された時間に、被害者はZoomやTeamsのような会議に参加するためのリンクを受け取ります。しかし、このリンクは攻撃者が制御している類似ドメインを指しています。
- 攻撃者は合法的なSDKを使用して、本物と見分けがつかないブラウザベースのミーティングインタフェースを作成します。
このインタフェースは、ターゲットにビデオフィードを表示し、音声がない場合に問題を解決するように促すメッセージを送ります。攻撃者は同時に指示を与え、ターゲットが正常なトラブルシューティングプロセスであると感じるようにします。
- ターゲットはAppleScriptファイルのダウンロードやコマンドの実行を求められます。
これらのコードは無害に見えますが、実際には攻撃者のサーバーからマルウェアを取得する命令が含まれています。
マルウェアの機能
- 認証情報の盗難:ブラウザや暗号通貨ウォレット、APIキーからの情報を盗む。
- キーロギングとセッショントークンの収集:特にTelegramでの活動を記録する。
- パスワードマネージャーデータの抽出:KeychainやBitwardenからの情報を取得する。
- ブラウザ拡張機能への悪意のあるバージョンの置き換え。
- SSHキー、クラウド資格情報、機密ファイルの盗難。
対策
セキュリティ専門家は、会議リンクを確認し、信頼できないソースからのターミナルコマンドを避けることやエンドポイント保護ツールを使用することを推奨しています。