- この詐欺は、Telegramのなりすましや録画されたビデオ通話を利用して信頼を築くものです。
- マルウェアは会議中に偽の音声やSDKパッチとして配布されます。
- セキュリティ・アライアンスは、毎日複数の同様の試みを追跡していると述べています。
北朝鮮のサイバー犯罪者は、偽のZoomやTeams会議を悪用してマルウェアを展開し、機密データや暗号通貨ウォレットを流出するソーシャルエンジニアリング攻撃をエスカレートさせています。
サイバーセキュリティ企業のセキュリティ・アライアンス(通称 SEAL)は、 これらのキャンペーンに関連する複数の日々の試みを追跡していると警告しています。
この活動は、粗雑なフィッシングではなく、より説得力のあるリアルタイムの欺瞞へのシフトを示しています。
この警告は、MetaMaskのセキュリティ研究者テイラー・モナハンがパターンを綿密に監視し、すでにこの戦術に関連する損失の規模を指摘してきたことを受けて出されたものです。
この方法は親しみや信頼、職場での習慣に依存しており、ビデオ会議ツールを頻繁に使用する暗号やテクノロジー分野の専門家に対して特に効果的です。
偽のZoom詐欺の仕組み
攻撃は通常、Telegramから始まり、被害者はすでに知っている誰かのアカウントからメッセージを受け取ります。攻撃者は既存のチャット履歴を持つ連絡先を狙い、信頼性を高め、疑いを低くします。
エンゲージメントが始まると、被害者はCalendlyのリンクを通じてミーティングの予約を促され、それが正当なZoom通話のように見えることになります。
会議が始まると、被害者は自分の連絡先や他のチームメンバーのライブ映像と思われる映像を目にします。
実際には、映像は事前収録されており、AI生成のディープフェイクではありません。
通話中、攻撃者は音声問題があると主張し、迅速な修理を提案しました。
チャットでファイルが共有され、音声のクリアさを回復するためのパッチやソフトウェア開発キットのアップデートとして提示されます。
そのファイルにはマルウェアのペイロードが含まれています。インストール後、攻撃者は被害者のデバイスにリモートアクセスできるようになります。
暗号通貨ウォレットへのマルウェアの影響
悪意のあるソフトウェアはしばしばリモートアクセストロイの木馬です。インストール後は、パスワード、内部セキュリティ文書、秘密鍵などの機密情報を静かに抽出します。
暗号資産に特化した環境では、即時の侵害の兆候がほとんどなくウォレットの完全な流出を引き起こすことがあります。
モナハンは Xに対し 、この手法のバリエーションですでに3億ドル以上が盗まれており、同じ脅威アクターが偽のZoomやTeams会議を利用してユーザーを侵害し続けていると警告しています。
SEALも同様の懸念を示し、暗号資産業界全体でこうした試みが頻繁かつ一貫していることを指摘しています。
北朝鮮の進化するサイバー戦略
北朝鮮のハッキンググループは長らく金銭的動機によるサイバー犯罪と結びつけられており、その収益は政権を支えるものと考えられている。
Lazarusのようなグループは、これまでに直接的なエクスプロイトやサプライチェーン攻撃を通じて取引所やブロックチェーン企業を標的にしてきました。
近年では、これらの関係者たちは社会工学を大いに活用しています。
ここ数ヶ月で、彼らは偽の求人応募やマルウェアを散布するための面接プロセスを仕組んで暗号資産企業に潜入しています。
先月、Lazarusは韓国最大の取引所であるUpbitでの侵害事件に関連しており、 その結果約3,060万ドルの損失 が出ました。
偽のZoom戦術は、技術的な安全策を回避する人間中心の攻撃ベクトルへの広範な戦略的転換を反映しています。
専門家がユーザーにすべきだと言うこと
セキュリティ専門家は、悪意のあるファイルが実行されると速度が重要だと警告しています。
通話中に感染の疑いがある場合は、すぐにWiFiを切断し、デバイスの電源を切ってデータ流出を妨害するよう 推奨されます 。
より広い警告としては、予期せぬ会議リンク、ソフトウェアパッチ、緊急の技術的な要望は、たとえ既知の連絡先から来ているように見えても、極めて慎重に扱うよう求められます。
