ハッカーは、被害者を騙して自分のシステムにマルウェアを感染させるために、偽のZoomおよびMicrosoft Teamsミーティングを使用することがますます増加しています。
SEALは、MetaMaskのeth-phishing-detectシステムを使用して、この作戦に関連する164の悪意あるドメインをブロックしたと述べています。
このキャンペーンは主に暗号通貨の専門家、Web3開発者、および投資家を対象としていますが、その戦術はオープンソースコミュニティへの拡大を続けています。
典型的なフィッシング攻撃とは異なり、UNC1069は忍耐と信頼に依存しています。攻撃者はTelegram、LinkedIn、Slackなどのプラットフォーム上の正規のアカウントへのアクセスを取得し、既存のチャット履歴を使用して対象者との実際の会話を再開します。これにより、その連絡は本物であり、非常に説得力があるように見えます。
2026年2月6日から2026年4月7日まで、Security Alliance(SEAL)は、北朝鮮(DPRK)の脅威アクター グループに関連する164のドメインに対して、eth-phishing-detectを介してウォレットレベルのブロックを追跡および実装しています。
接触が確立されると、攻撃者はミーティングのスケジュール設定を提案し、Calendlyなどの正規のツールを使用することがよくあります。これらのミーティングは疑いを減らし、正常性の感覚を作成するために、故意に数日または数週間先に設定されます。
侵害されたアカウントが利用できない場合、攻撃者は信頼できる企業になりすましたり、偽の専門的環境を作成したりします。彼らはステージングされたSlackワークスペースやLinkedInペルソナを構築して彼らのストーリーをサポートすることさえできます。
偽のミーティング、本物の詐欺
予定された時間に、被害者はZoomまたはMicrosoft Teamsミーティングに見えるリンクを受け取ります。ただし、リンクは攻撃者によって制御されたよく似たドメインを指しています。
ミーティングインターフェイスはブラウザ全体で実行され、正規のSDKを使用して実際のZoomまたはTeamsセッションを厳密に模倣します。
被害者は、カンファレンストークやポッドキャストなどの公開記録から取得した、見慣れた個人のビデオフィードを見ることさえできます。
トリックは、被害者がオーディオを聞くことができないときに来ます。インターフェイスはこの問題を修正するよう促し、一方、攻撃者はソフトウェアの更新やコマンドの実行などの指示で同時にメッセージを送信します。
このリアルタイム相互作用が重要です。攻撃者は被害者を安心させ、質問に答え、疑いを取り除き、プロセスを通常のトラブルシューティングではなく攻撃のように見せません。
従来のマルウェアダウンロードの代わりに、被害者は小さなAppleScript(.scpt)ファイルをダウンロードするか、コマンドを貼り付けるよう求められます。
表示されたコードは無害に見えますが、攻撃者が制御するサーバーから実際のマルウェアを取得する隠しコマンドが含まれています。
最初は明らかな実行可能ファイルがインストールされていないため、このアプローチは一般的なセキュリティ警告をトリガーするのを避けます。
実行されると、マルウェアは被害者のシステムに一意のIDを割り当て、永続性を確立し、およそ60秒ごとにコマンド・アンド・コントロール(C2)サーバーと通信を開始します。
強力な侵害後の活動
アクセスを取得した後、攻撃者は対象の価値に応じてモジュール形式のツール範囲を展開できます。観察されたの機能は以下を含みます:
- ブラウザ、暗号ウォレット、APIキーからの認証情報盗難。
- キーロギングおよびセッショントークンの収集、特にTelegram用。
- KeychainやBitwardenなどのパスワードマネージャーのデータの抽出。
- ブラウザ拡張機能の悪意のあるバージョンへの置き換え。
- SSHキー、クラウド認証情報、機密ファイルの盗難。
マルウェアはmacOS、Windows、およびLinuxをサポートしていますが、macOSは暗号環境での人気が高いため、依然として主要なターゲットです。
UNC1069オペレータは、初期感染後の積極的な悪用を遅延させることがよくあります。被害者はミーティングが単に失敗したと信じ、通常のアクティビティを続け、システムが侵害されていることに気付きません。
このグループのnpmパッケージ「axios」を含むサプライチェーン攻撃への最近のリンクは、ソフトウェアメンテナーを含む、より高い影響を持つターゲットへのより広範なシフトを強調しています。
一方、攻撃者は盗まれた認証情報とセッションを使用して横方向に移動し、被害者の連絡先をターゲットにして、信頼できるネットワークを通じて攻撃を拡大します。
セキュリティ専門家は、ミーティングリンクの検証、信頼できないソースからのターミナルコマンドの回避、およびエンドポイント保護ツールの使用が、この進化する脅威に対する重要な防御であると警告しています。
翻訳元: https://gbhackers.com/fake-zoom-teams-calls/
