この悪質なMicrosoft Teamsフィッシング詐欺は、無害な休暇の変更を装っています

  • abmhh
  • 0 comments
この悪質なMicrosoft Teamsフィッシング詐欺は、無害な休暇の変更を装っています
Microsoft Store の AI 生成レビュー概要
(画像提供:Future)

知っておくべきこと

  • ハッカーは「DarkGate Loader」と呼ばれる新しいフィッシング キャンペーンを利用して、Microsoft Teams アカウントを侵害しています。
  • この手法は、何も知らないユーザーを騙して、「休暇スケジュールの変更」というマークの付いた .ZIP ファイルをデバイスにダウンロードして開かせることを目的としています。
  • 偽装されたダウンロード プロセスでは Windows cURL が使用され、事前にコンパイルされたスクリプトによってコードが隠されているため、マルウェアの発見が困難になります。

ハッカーは高度な技術を駆使して、何も知らないユーザーを騙し、悪意のある攻撃に誘い込んでいます。8月末、Truesecの研究チームは「DarkGate Loader」と呼ばれる新たなプロセスの調査を開始しました。

このフィッシング攻撃は、Microsoft Teamsユーザーに一見無害なメッセージを送信します。ハッカーは侵害されたOffice 365アカウントを利用し、無防備なユーザーに有害な添付ファイル付きのメッセージを送信し、「休暇スケジュールの変更」と書かれたZIPファイルをダウンロードさせて開かせようとしました。

この ZIP ファイルをクリックすると、PDF ドキュメントを装った LNK ファイルを含む SharePoint URL からのダウンロード プロセスが自動的に開始されることに注意してください (TechRadar 経由)。 

Microsoft Teams 上の DarkGate Loader マルウェア

休暇スケジュールの変更.zipファイルをホストしているSharePointサイトのスクリーンショット。(画像提供: Trusec)

Trusec は、ハッカーが乗っ取ったアカウント「Akkaravit Tattamanas」([email protected]) と「ABNER DAVID RIVERA ROJAS」([email protected]) に注目し、LNK ファイル内に潜む悪質な VBScript を送信して、DarkGate Loader として知られるマルウェアを展開していると指摘しました。

ハッカーが巧妙に利用している攻撃手法では、ZIPファイルのダウンロードプロセスにSharePointのURLが利用されるため、ユーザーが不正行為に気づくのが極めて困難です。さらに、プリコンパイルされたスクリプトはファイルの途中にコードが隠されているため、マルウェアの検出がさらに困難になっています。

調査会社によれば、このスクリプトは、標的のユーザーのエンドポイントに人気のウイルス対策ソフト Sophos がインストールされているかどうかも識別できる。インストールされていない場合は、追加コードがマスク解除され、シェルコードが起動される。シェルコードでは、「スタックされた文字列」と呼ばれる手法を利用して DarkGate 実行ファイルを作成し、それをシステム メモリに読み込む。

この攻撃は、受信者へのセキュリティ意識向上トレーニングによって検出されました。残念ながら、現在のMicrosoft Teamsのセキュリティ機能(「安全な添付ファイル」や「安全なリンク」など)では、この攻撃を検出またはブロックできませんでした。現時点では、Microsoft Teams内でこの攻撃ベクトルを防ぐ唯一の方法は、特定の外部ドメインからのMicrosoft Teamsチャットリクエストのみを許可することです。ただし、信頼できるすべての外部ドメインをIT管理者がホワイトリストに登録する必要があるため、ビジネスへの影響が生じる可能性があります。

Trusec研究チーム

Teams関連の詐欺はこれだけではありません。ロシアのハッカー集団「Midnight Blizzard」が8月に新たなエクスプロイトを悪用し、40社未満の組織に影響を与えました。ハッカーたちは、中小企業のオーナーが所有するMicrosoft 365のテナントを侵害し、テクニカルサポート機関を装った新しいドメインを作成しました。しかし、Microsoftはその後この問題を軽減し、現在攻撃の影響を調査しています。

Windows と Xbox の熱狂的なファンのための最新ニュース、レビュー、ガイド。

現時点では、予期しないメッセージに注意し、感染したファイルを見つけた場合は管理者に通知してください。

ケビン・オケムワは、ケニアのナイロビを拠点とするベテランのテクノロジージャーナリストです。Windows Centralで業界の最新トレンドや動向を幅広く取材し、豊富な経験を有しています。イノベーションへの情熱と細部への鋭い洞察力を持つ彼は、OnMSFT、MakeUseOf、Windows Reportといった主要メディアに寄稿し、Microsoftエコシステムを取り巻くあらゆるトピックについて、洞察力に富んだ分析と最新ニュースを提供しています。常に変化するテクノロジーのトレンドを追っている暇な時は、世界を旅したり、音楽を聴いたりしています。