Cybleはこのほど「Cyble — Zoom Users At Risk In Latest Malware Campaign」において、Zoomユーザーを標的としたフィッシングキャンペーンを確認したと伝えた。「IcedID」と呼ばれるマルウェアを配布することを目的としたフィッシング詐欺が観測されており、偽のZoomアプリインストーラが使われていることが明らかとなった。

  • Cyble — Zoom Users At Risk In Latest Malware Campaign

    Cyble — Zoom Users At Risk In Latest Malware Campaign

近年、新型コロナウイルス感染症(COVID‑19)の流行によって従業員のリモートワークが増加し、バーチャルなコミュニケーションツールの必要性が高まりつつある。サイバー犯罪者はこうした流行に敏感に反応。Zoomのような人気のあるソフトウェアを悪用してユーザーのシステムにマルウェアを送り込むケースが頻繁に発見されている。

Cybleのセキュリティ調査チームであるCyble Research & Intelligence Labs (CRIL)により、Zoomアプリを標的としたフィッシングキャンペーンが観測され、IcedIDマルウェアを利用していることがわかった。IcedID(「BokBot」とも知られている)は、被害者の銀行認証情報を盗むことを目的としたバンキング型トロイの木馬とされ、企業が主なターゲットといわれている。ローダとしても機能し、他のマルウェアファミリを配信したり、追加モジュールをダウンロードしたりする機能も提供されている。

今回のキャンペーンでは、攻撃者がフィッシングWebサイト(hxxps[:]//explorezoom[.]com/products/app/ZoomInstallerFull[.]exe)を利用し、Zoomのインストーラを偽造したIcedIDのペイロードを配信していることが確認されている。これは悪意のあるOfficeファイルを添付したスパムメールを利用してIcedIDを拡散させるという一般的な攻撃手法とは異なるという。

  • Phishing page downloading malicious Zoom installer|Cyble

    Phishing page downloading malicious Zoom installer|Cyble

世界中に影響を及ぼし高度で長期間にわたって使用されているIcedIDは、Emotet、TrickBot、Hancitorといった著名な脅威とされるマルウェアのペイロードにも使われてきたという経緯も合わせ持つ。

発見されたキャンペーンのような人気のあるソフトウェアを悪用するサイバー犯罪者にだまされないよう、新たなソフトウェアを導入する時やソフトウェア更新を実施する際は、ダウンロードサイトのURLを注意深く確認することやソフトウェアの自動更新機能を利用するなどの対策を実施することが望まれる。