IcedID malware campaign targets Zoom users
2023/01/07 SecurityAffairs — 先日に Cyble の研究者たちは、人気のビデオ/オンライン会議プラットフォーム Zoom のユーザーをターゲットにして、IcedID マルウェアを配信するフィッシング・キャンペーンを発見した。IcedID バンキング型トロイの木馬は、2017年に初めて登場し、Gozi/Zeus/Dridex などのオンライン・バンキング・マルウェアと同様の機能を有している。
最初に、このマルウェアを分析した IBM X-Force の専門家たちは、他のバンキング・マルウェアからコードを流用していないことを発見した。しかし、同マルウェアは、Man-in-the-Browser 攻撃を開始し、被害者から金融情報を盗み出すなど、同等の機能を実装しているという。
一般的に IcedID は、武器化された Office ドキュメントを悪用して使用して、不正な広告キャンペーンを展開する。しかし、Cyble が発見した今回のキャンペーンの脅威アクターは、Zoom の正規の Web サイトを模倣したフィッシング Web サイトを用いて、IcedID マルウェアを配信している。
Cyble が発表したレポートには、「このキャンペーンの背後にいる驚異アクターは、正規の Zoom Web サイトを精巧に模したフィッシング・ページを用いて、ユーザーを騙して悪意のアクティビティを実行するために、IcedID マルウェアをダウンロードさせた」と記されている。
この偽の Web サイトのランディング・ページに含まれるダウンロード・ボタンをクリックすると、以下の URL から Zoom インストーラー・ファイルがダウンロードされた。専門家たちが、このファイルを解析した結果、IcedID マルウェアが含まれていることが判明した。
URL:hxxps[:]//explorezoom[.]com/products/app/ZoomInstallerFull[.]exe.
ダウンロードされた ZoomInstallerFull.exe を実行すると、%temp% フォルダに ikm.msi/maker.dll などのバイナリがドロップされる。この maker.dll は、様々な悪意の活動を行い、IcedID マルウェアをロードするために使用される悪意のライブラリであり、ikm.msi は、Zoom アプリケーションの正規のインストーラーである。
インストールされた IcedID マルウェアは、C2 への接続を試み、接続に成功すると、%programdata% ディレクトリに、追加の悪意のペイロードをドロップする。
Cyble のレポートは、「IcedID は、世界中のユーザーに影響を与えた、高度で長期間に渡り活動してきたマルウェアである。今回のキャンペーンにおける脅威アクターは、フィッシング・サイトを利用して IcedID のペイロードを配信している。この脅威アクターは、サイバー・セキュリティ対策による検出を回避するために、その手法を適応させ続けている」と締めくくっている。
Zoom ユーザーを狙うフィッシングに関しては、2021年8月に「Microsoft 警告:Office 365 や Zoom を装うフィッシングが流行っている」という記事がありました。また、2022年9月には「Zoom が米時間 9月15日にダウン:復旧はしたが現時点では原因は不明」というインシデントが発生しています。よろしければ、Phishing で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.