このキャンペーンでは
Android ユーザー向けに遠隔操作型
トロイの木馬 (RAT: Remote Administration Trojan)の「SpyNote」、Windowsユーザー向けに「NjRAT」、「DCRat」が配布されるという。
RATs Distributed Through
Skype ,
Zoom , & Google Meet Lures
○偽のWeb会議ツールのサイトに注意
Zscalerの調査によると、このキャンペーンでは共有Webホスティングを使用し、単一の
IPアドレス ですべての偽Web会議サイトが運営されていたという。また、すべての偽サイトでロシア語の使用が確認されている。
マルウェア の感染および通信経路 引用:Zscaler
偽サイトには、
Android とWindows向けの
アプリ ダウンロードボタンが用意されており、
Android ボタンを押下するとAPKファイルがダウンロードされ、Windowsボタンを押下するとバッチファイルがダウンロードされる。Windowsはバッチファイルを実行することで最終的に
マルウェア がダウンロードされる仕組みとなっており、これはセキュリティソリューションによる検出を回避する目的があるものとみられる。
偽のオンラインWeb会議サイトの例 引用:Zscaler
○対策
このキャンペーンで、標的をどのようにしてフィッシングサイトに誘導したかどうかはわかっていない。しかしながら、このようなケースではフィッシングメールまたはソーシャルネットワーキングサービス(SNS: Social networking service)のメッセージを悪用して誘導することが多いため、これらに注意することが推奨されている。
Zscalerは近年サイバー攻撃がますます高度化・複雑化していると指摘し、このような攻撃を回避するためにはセキュリティソリューションの導入、
ソフトウェア の定期的なアップデートが重要と指摘している。