2026年2月6日から4月7日にかけて、セキュリティアライアンス(SEAL)は、UNC1069として知られる北朝鮮のハッキンググループに関連する164のインターネットドメインをブロックしました。このグループはセキュリティコミュニティではBlueNoroffとも呼ばれています。
SEALは、このグループが暗号資産セクターとオープンソースソフトウェアコミュニティの人々を、偽のZoomおよびMicrosoft Teamsミーティングを使って積極的に騙していることを発見しました。
攻撃者は、従来のソフトウェアをインストールするよう被害者を騙すことなく、機密データとデジタル資産を盗む高度なソーシャルエンジニアリングキャンペーンを実行しています。
彼らは、よく知られたブランドになりすましたり、既にハッキングされたアカウントを使用して、信頼できる連絡先だと思っている人にメッセージを送ったりします。
ハッカーが過去のメッセージを読むことができるため、彼らは容易に古い会話を再開し、新しいリクエストを完全に正常に見せることができます。
この信頼を確立した後、攻撃者は業務通話をスケジュール化し、多くの場合、実在するCalendlyリンクを使用して、1〜2週間後にミーティングを設定します。この遅延により、緊急性が軽減され、被害者は安心したと感じます。
ハッカーは、被害者に大型プログラムのダウンロードを仕掛けるのではなく、マルウェアを配信するためのはるかにシンプルな方法を使用します。攻撃によっては、被害者は小さなスクリプトファイルをダウンロードするか、コンピュータターミナルにコマンドをコピーして貼り付けるよう求められます。
SEALは、被害者がこのコマンドを実行すると、隠れた指令がハッカーのサーバーに到達し、実際のマルウェアをダウンロードすると説明しています。
セキュリティアライアンスのハッカーが攻撃を開始すると決めた場合、彼らは幅広い強力なツールを自由に使用できます。SEALによると、マルウェアはWebブラウザに保存されたパスワードを盗むことができ、暗号資産ウォレットファイルをコピーし、被害者が押すすべてのキーを記録することができます。
攻撃者はまた、Telegramなどのアプリのセッショントークンを盗み、被害者のアカウントを乗っ取って、友人や同僚をターゲットにすることができます。
マルウェアは、安全なブラウザ拡張機能を悪意のあるものに置き換え、macOS、Windows、Linuxなど複数のオペレーティングシステム全体でクラウドコンピューティングパスワードを盗むことができます。
最近、ハッカーはこれらの盗まれたアカウントを使用して、「axios」という人気のあるソフトウェアパッケージを侵害し、世界中の開発者が使用するツールに感染させようとしていることを示しています。
SEALは、これらの攻撃で使用されるブロックされたWebドメインのリストを共有しており、web-meet.live、microcall.us、teamsync.liveが含まれています。
翻訳元: https://cyberpress.org/fake-meeting-lures-weaponized/