Zscalerは3月5日(米国時間)、「RATs Distributed Through Skype, Zoom, & Google Meet Lures」において、人気のWeb会議ツール「Skype」「Google Meet」「Zoom」の偽のWebサイトからマルウェアを配布するキャンペーンを発見したと報じた。

このキャンペーンではAndroidユーザー向けに遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の「SpyNote」、Windowsユーザー向けに「NjRAT」、「DCRat」が配布されるという。

  • RATs Distributed Through Skype, Zoom, & Google Meet Lures

偽のWeb会議ツールのサイトに注意

Zscalerの調査によると、このキャンペーンでは共有Webホスティングを使用し、単一のIPアドレスですべての偽Web会議サイトが運営されていたという。また、すべての偽サイトでロシア語の使用が確認されている。

  • 002l.jpg

    マルウェアの感染および通信経路 引用:Zscaler

偽サイトには、AndroidとWindows向けのアプリダウンロードボタンが用意されており、Androidボタンを押下するとAPKファイルがダウンロードされ、Windowsボタンを押下するとバッチファイルがダウンロードされる。Windowsはバッチファイルを実行することで最終的にマルウェアがダウンロードされる仕組みとなっており、これはセキュリティソリューションによる検出を回避する目的があるものとみられる。

  • 003l.jpg

    偽のオンラインWeb会議サイトの例 引用:Zscaler

対策

このキャンペーンで、標的をどのようにしてフィッシングサイトに誘導したかどうかはわかっていない。しかしながら、このようなケースではフィッシングメールまたはソーシャルネットワーキングサービス(SNS: Social networking service)のメッセージを悪用して誘導することが多いため、これらに注意することが推奨されている。

Zscalerは近年サイバー攻撃がますます高度化・複雑化していると指摘し、このような攻撃を回避するためにはセキュリティソリューションの導入、ソフトウェアの定期的なアップデートが重要と指摘している。