Sucuriは5月23日(米国時間)、「Fake Google Meet Page Tricks Users into Running PowerShell Malware」において、Google Meetを偽装する新しいClickFix戦術を発見したと伝えた。

悪意のあるコードは侵害されたWordPressサイトから発見された。通常は難読化されたJavaScriptやiframeを検出するが、今回はより巧妙で危険なものだったという。

  • Fake Google Meet Page Tricks Users into Running PowerShell Malware

    Fake Google Meet Page Tricks Users into Running PowerShell Malware

シンプルだが発見は困難

WordPressサイトを侵害して訪問者を誘導する場合、多くの攻撃者はプラグインの設定などを改ざんして悪意のあるJavaScriptをWebサイトに埋め込む手法などを用いる。ところが今回の攻撃者は、Google Meetに偽装する自己完結型のHTMLファイルを設置するだけのシンプルな手法を用いたと見られる。

Sucuriの分析によると、このHTMLファイルにはスタイル、ロゴ、レイアウトのすべてが埋め込まれており、外部のJavaScriptやGoogleリソースへのアクセスはないという。また、実際にマイクアクセスを試みるコードが含まれ、難読化もしておらず、疑いの目を持って注意深く検証しなければ無害に見えるとしている。

この記事は
Members+会員の方のみ御覧いただけます

ログイン/無料会員登録

会員サービスの詳細はこちら