Zoomの偽インストーラー流通、バックドアやボットネット混入|サイバーセキュリティ.com

Zoomの偽インストーラー流通、バックドアやボットネット混入



大手セキュリティソフト関連企業のトレンドマイクロジャパンは2020年6月23日、バックドアを設置するファイルやボットネット「Devil Shadow(デビルシャドウ)」の混入を目的とした、インターネット会議ツール「Zoom」の偽インストーラーの流通を公表しました。
同社ブログによると、前者はインストールを実行するとリモートユーティリティを強制終了した上で、攻撃者が利用するためのポートおよびTCPを開設。さらにユーザー認証情報の窃取や遠隔操作を目的としたレジストリを作成し、不正な通信を受け入れる体制を構築します。
後者のDevil Shadowは、感染コンピューターをいわば「ゾンビ化」する、ボットネットにカテゴライズされるマルウェアです。こちらもZoomに偽装してユーザーの意思による実行で侵入し、不正なファイルをダウンロードすることで、ユーザーに気づかれないまま遠隔操作(ウィンドウのスクリーンショットやウェブカメラの検出、あるいは別の対象に対するサイバー攻撃に利用など)を実行するため、同社は注意を呼び掛けています。

正規サイトからのダウンロードを

偽インストーラー型のサイバー攻撃は、「ユーザーが自身の意思でインストールを実行する」、「正規ファイルも合わせて導入するため気づかれにくい」という2点の難点を有しています。
今回の事案についても「Zoomインストールを希望するユーザー」をターゲットに、アプリ紹介サイトなどで公開されると、多くの被害が想定されます。また、偽インストーラーは不正ファイルと同時に正規のZoomアプリケーションも導入するため、ユーザーはマルウェアの侵入に気づきにくく、表面化した時にはすべての情報が流出しているといった事態も想定されます。
このため、トレンドマイクロは偽インストーラーへの対策として、「正規サイトからのダウンロード」を指摘しています。偽インストーラーはいずれも悪意ある攻撃者が設置しているものであり、正規サイトおよび運営会社が自分の意志で設置する可能性はありません。そのため、正規サイトそのものがサイバー攻撃を受けない限り、正規サイトの配布インストーラーがマルウェア入りのものになる可能性はまずないと言えるからです。
なお、同社は偽インストーラー型の攻撃は、流行となっているツールに用いられる傾向が強いため、同様の手口が他のツールにも実施される可能性を指摘。今後も継続的に監視を進める方針を明かしています。
参照偽のZoomインストーラに隠されたバックドアとボットネット「Devil Shadow」/トレンドマイクロセキュリティブログ




書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け


ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。