従業員は、接続不良を修正するポップアップに見せかけた罠に騙される。
最新の偽Zoomミーティング詐欺は、何も知らない従業員のWindowsコンピューターに監視ソフトウェアをひそかに送り込む。
これはMalwarebytesの研究者による報告であり、この詐欺に引っかかったスタッフは本物そっくりのZoomビデオ通話の模倣画面に誘導されると警告している。その直後、自動的に表示される「アップデートが利用可能」というカウントダウンが、許可を求めることなく悪意のあるインストーラーをダウンロードする。
インストールされるソフトウェアは、Teramindの秘密ビルドである。Teramindとは、企業が社員の業務コンピューター上での行動を記録するために使用する商用監視ツールだ。多くのマルウェア対策ソリューションはこれを検出できない可能性がある。なぜなら、正規のアプリケーションに見えるからだ。しかし、脅威アクターの手に渡れば、これは最強のツールとなる。キーストロークのログ記録、定期的なスクリーンショット撮影、訪問したウェブサイトや起動したアプリケーションの記録、クリップボードの内容のキャプチャ、そしてメールやファイルの活動の追跡が可能だ。
Zoomは長い間、脅威アクターが悪用しようとするサービスであり続けてきた。従業員は同僚、上司、顧客からミーティングへの招待を受け取ることに慣れているからだ。
偽のZoomミーティング詐欺は通常、フィッシングメールやテキストメッセージから始まる。そのため、CSOが最初に講じるべき防御策は、従業員へのセキュリティ意識向上トレーニングだ。
「ミーティングリンクが本当にzoom.usに繋がっているか(偽のリンクではないか)を5秒かけて確認するという単純な習慣が、深刻な問題を防ぐことができる」とMalwarebytesはアドバイスしている。このキャンペーンで被害者が誘導される偽サイトはuswebzoomus[.]com/zoom/だ。
セキュリティ意識向上トレーニングプロバイダーKnowBe4のCISOアドバイザーであるRoger Grimes氏は、GmailとMicrosoft Outlookの両方でミーティング招待から始まる悪意のあるZoom通話を多数見てきたと述べた。実際、今月初めに彼自身が受け取ったものは、オンラインカレンダーに自動的に追加されていた。多くのフィッシング誘導と同様に、そのカレンダー通知には見逃しにくい件名が付いていた。「最終通知:給与確認のアクションが必要:…とのミーティング」
フィッシング誘導の可能性を示す重要な指標の一つは、ターゲットが考える前にクリックするよう、素早い行動を促す件名だ。これが偽物だったもう一つのヒントは、日曜日の午後に届いていたことだ。
従業員は、特に見知らぬ名前やメールアドレスが含まれている場合、予期しないカレンダー招待やZoomミーティングを信頼しないよう教育される必要があると彼は述べた。
「詐欺の99%を回避する方法は、以前に一度もしたことのないことをするよう求める予期しない受信メッセージ(例えば、ミーティング中に新しいソフトウェアをインストールするなど)に対して、徹底的に懐疑的になることだ」と彼は言った。「もし2つの特徴(予期していないこと、かつ、以前にしたことのないことを要求していること)を含むメッセージや招待を受け取った場合は、要求された行動を実行する前に、メッセージ外の信頼できる情報源を使って確認してほしい。」
セキュリティ意識向上トレーニングプロバイダーBeauceron SecurityのCEOであるDavid Shipley氏も、偽Zoom招待についての従業員トレーニングが不可欠だという意見に同意した。
「私たちの調査では、人々がフィッシングリンクをクリックする2大理由は、それが正当に見えたことと、似たようなものを期待していたことだと示されている」と彼は言った。「AIのおかげで、フィッシングはかつてないほど巧妙に見え、より精密に標的を絞れるようになっている。」
人々を教育する際の重要なポイントは、送信者、件名、リンクを確認するという従来のアドバイスを提供するだけではないと彼は付け加えた。40%の人々はクリックする前に考えすらしない。
「重要なのは、メール(または外部からメッセージを送信できるあらゆるコミュニケーションツール)に対してスピードを落とし、常に以下の質問をすることを教えることだ:『これを送ってきた人を知っているか?この人から受け取ることを期待していたか?何か違和感を感じるか?』」
2つ目の教育ポイントは、Zoomのメール招待をクリックした後にソフトウェアのインストールなど新しいことが起きた場合は、スタッフに報告するよう促すことだと彼は述べた。
偽Zoom招待についての警告は、セキュリティベンダーからペンシルベニア州不動産業者協会まで、多くの情報源から広く発信されている。昨年10月、同協会は、いわゆる潜在的な買い手がMLS(不動産情報システム)、Realtor.com、Zillow上の物件を持つエージェントを標的にし、物件への関心を示しているという警告を発した。オファーを提出する前に、潜在的なクライアントはエージェントと物件について話し合うためにZoomミーティングを開くことを主張する。詐欺師はZoomリンクを送るが、エージェントがそれをクリックすると、コンピューターや携帯電話にマルウェアがインストールされる。
同様に、昨夏バッファロー大学は学生とスタッフに警告した。ハッカーたちがマルウェアをインストールする目的で、UBmailアカウントに偽の「Zoom招待」リンクを送りつけていたというものだ。
また、Zoom自身もブログで求人詐欺の被害を避ける方法について発信している。
関連コンテンツ:Zoomミーティングをより安全にする7つの方法
攻撃の詳細な流れ
Malwarebytesは、ブログで報告している特定のキャンペーンがどのように開始されるかを説明していない。しかし、被害者がミーティング招待を承諾して偽サイトにアクセスすると、Zoomの待機室に見えるページに誘導される。同時に、そのサイトは攻撃者に誰かが入室したことを静かに通知する。
「Matthew Karlsson」「James Whitmore」「Sarah Chen」という3人のスクリプト化された偽参加者が、本物そっくりのZoom参加チャイムとともに一人ずつ通話に参加するように見える。しかし、彼らの会話音声はバックグラウンドでループ再生されているだけだ。被害者が操作しようとしない限り、それ以上何も起こらない。すると、主なビデオタイルの上に「ネットワーク問題」という警告が常時表示され、途切れ途切れの音声と遅延する映像を説明するかのように見える。数秒後に「アップデートが利用可能」というプロンプトが表示されると、Malwarebytesは、それが問題の修正策のように感じられると述べている。
その時点で、攻撃を止める機会が一度だけある。インストールを進めるには、被害者がダウンロードをクリックしなければならない。Stefan Dasic氏(Malwarebytesの調査・対応マネージャー)によれば、多くの従業員はそうしてしまうだろう。それが自然な行動に感じられるからだ。だからこそ、メッセージ内のリンクからZoomをアップデートしないよう従業員を訓練することが重要だ。アップデートはアプリケーション内のZoomアップデート機能からのみ行うべきだ。
被害者がダウンロードをクリックすると、閉じるボタンのないポップアップが画面を占領し、「アップデートが利用可能 — 新しいバージョンがダウンロードできます」と表示される。スピナーが回転し、カウンターが5からゼロに向けて刻む。カウンターがゼロになると、ブラウザはファイルをひそかにダウンロードするよう指示される。その同じ瞬間、ページはインストール中の「Zoom Workplace」を表示するMicrosoftストアに見えるものに切り替わり、スピナーまで表示される。訪問者が問題を解決しているように見える正規のインストールを眺めている間に、スパイウェアを含む本物のインストーラーはすでに許可を求めることなく「ダウンロード」フォルダに置かれており、システムを侵害しつつある。インストーラーにはマルウェア対策ソリューションによる解析を防ぐコードが含まれている。
「攻撃者はカスタムマルウェアを作成していない」とブログは指摘する。「彼らは、確実に動作し、再起動後も持続するよう設計された、プロが開発した商用製品を展開したのだ。これにより、多くの従来型マルウェアより耐久性が高い。」
このキャンペーンは技術的な高度さに依存していないとブログは付け加える。「新しいハッキング技術は使用されていない。攻撃者は説得力のある偽Zoomページを構築し、訪問者が疑いを持つ前に自動ダウンロードが発動するよう設定し、偽のMicrosoftストア画面ですべてをごまかした。クリックからインストールまで30秒もかからない。Zoom招待を期待していて、Microsoftのインストールが進行中のように見えたものを目にした人は、何も異常なことが起きなかったと思い込んで立ち去ることが十分あり得る。」
Malwarebytesは、従業員がuswebzoomusサイトにアクセスしたことを知った情報セキュリティリーダーに対し、そのコンピューターを侵害されたものとして扱うよう勧告している。
