偽のZoomミーティング「更新」が監視ソフトを密かにインストール |Malwarebytes

偽のZoom会議サイトが、Windows 監視ソフトを密かに押し付けている。訪問者は本物そっくりのZoomビデオ通話画面に誘導される。間もなく自動で「更新あり」のカウントダウンが始まり、許可を求めることなく悪意のあるインストーラーがダウンロードされる。

インストールされているソフトウェアは、企業が従業員の業務用コンピュータでの行動を記録するために使用する商用監視ツール「Teramind」の隠蔽ビルド版である。このキャンペーンでは、会議に参加していると思い込んだ一般市民のマシンに、こっそりと侵入させている。

Zoomリンクをクリックしましたが、会議はありませんでした

この一連の操作は、uswebzoomus[.]com/zoom/というウェブサイトから始まります。このサイトはZoomの待機室として開きます。読み込みが完了すると、攻撃者に向けて誰かが到着したことを知らせるメッセージを密かに送信します。

3人の台本通りの偽参加者——「マシュー・カールソン」「ジェームズ・ウィットモア」「サラ・チェン」——が次々と通話に参加する様子が映し出される。それぞれが本物のZoom参加音と共に紹介される。彼らの会話音声はバックグラウンドで繰り返しループ再生される。

誰も操作しない場合、ページの動作は異なります。音声と会議のシーケンスは、実際の人がクリックまたは入力した時点で初めて開始されます。操作せずに不審なページをスキャンする自動セキュリティツールは、異常を検知しない可能性があります。

メイン動画タイル上に恒久的な「ネットワークの問題」警告が表示されます。これは不具合ではありません。ページは常にこれを表示するようハードコードされています。音声の途切れや動画の遅延は完全に意図的なものであり、特定の心理的効果を狙っています。通話障害を経験した訪問者は、当然アプリに問題があると推測するでしょう。その直後に「更新が利用可能です」というプロンプトが表示されると、それが修正のように感じられるのです。

誰も望んでいないカウントダウン

会議画面が表示されて10秒後、ポップアップが表示される：「更新あり — 新しいバージョンがダウンロード可能です」。スピナーが回転し、カウントダウンタイマーが5から0までカウントダウンする。閉じるボタンはない。

この時点で訪問者は、すでにイライラする不具合だらけの通話に耐え抜いている——そしてソフトウェア更新こそが、彼らがまさに欲しがるように仕向けられてきたものだ。ポップアップは驚きとしてではなく、答えとして現れる。

カウンターがゼロになると、ブラウザはファイルを黙ってダウンロードするよう指示される。そのまさに同じ瞬間、ページはMicrosoft Storeのように見え、「Zoom Workplace」のインストールが進行中（ローディング中の回転アイコン付き）と表示される画面に切り替わる。訪問者が問題解決のための正当なインストール作業を見ている間に、実際のインストーラーは既にダウンロードフォルダに保存されている——しかも一切の許可を求めることなく。

Zoomアップデート（Teramind内蔵）

ダウンロードしたファイルは zoom_agent_x64_s-i(__941afee582cc71135202939296679e229dd7cced) (1).msiこれは標準的なWindows 形式です。その固有のデジタルフィンガープリントは 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa.

ファイル名自体が物語っている：文字列 s-i(__) Teramind独自の命名規則に基づくステルス型インスタンスインストーラーであり、ハッシュ記号の後に続く文字列は、エージェントが報告を送信する攻撃者が制御する特定のTeramindアカウントを識別するものです。

ファイル内容のセキュリティ分析により、内部に隠された特に示唆に富む2つのテキストが判明した：エージェントバージョン26.3.3403と「サーバーIPまたはホスト名」とラベル付けされたフィールドである。これらのフィールドは、インストーラーが攻撃者が制御するTeramindサーバーへの接続を事前設定されていたことを裏付けている。

インストーラーは、典型的な対話型コンシューマーインストールインターフェースを表示することなく、Windows 介して実行されます。監視対象として設定されているターゲットは、そのことを全く認識していません。

目立たないように設計された

インストーラの内部ビルドファイル内——通常はソフトウェアの作者だけが目にする開発プロセスから残されたメモ——において、フォルダ名は out_stealth ビルドパスに表示される。これは偶然ではない。Teramindは専用の「ステルスモード」デプロイメントオプションを販売しており、エージェントが可視的な痕跡を残さず動作するよう特別に設計されている：タスクバーにアイコンが表示されない、システムトレイにエントリがない、インストール済みプログラム一覧に痕跡が残らない。

このバージョンのWindows では、TeramindのMSIはエージェントバイナリをデフォルトで命名します dwm.exe そしてそれを ProgramData\{GUID} ディレクトリ。この動作はベンダーによって文書化されており、を使用して変更できます。 TMAGENTEXE インストーラーのパラメータ。

インストール時、ソフトウェアは段階的に自身を組み立てます。インストール中に複数のTeramindコンポーネントが一時ディレクトリに展開されます。これらの中間ファイルは個別に署名されていないため、分析時にセキュリティツールが反応することがあります。インストール処理はまず、対象マシンにTeramindが既にインストールされているかを確認します。その後、コンピュータ名、現在のユーザーアカウント、キーボード言語、システムロケールを収集します。これらは、デバイスを識別し、展開元への活動報告を開始するためにTeramindが必要とする情報です。

エージェントは、エンタープライズ監視環境の展開に準拠し、リモートTeramindサーバーインスタンスと通信するよう構成されています。

それを検知しようとするツールを欺くために設計された

このインストーラーの最も意図的な特徴の一つは、分析を回避するためにどれほど巧妙に設計されているかである。セキュリティ研究者は、疑わしいソフトウェアを管理された「サンドボックス」環境（ソフトウェアが監視下で安全に実行できる、本質的に隔離された仮想マシン）で検証する。このインストーラーは、まさにその状況を検知し、異なる動作をするよう構築されている。

ランタイム解析フラグは、デバッグおよび環境検出ロジックの存在を示します（DETECT_DEBUG_ENVIRONMENTインストーラーは、識別分析やサンドボックス環境に対応したチェックを実行し、それらの条件下では動作を変更する場合があります。

インストールが完了すると、インストーラーは一時ファイルとステージングフォルダーを削除します。つまり、誰かがマシンを確認する頃には、インストーラーの明らかな痕跡は既に消えている可能性があります。ただし、監視エージェント自体はバックグラウンドで動作を継続します。

なぜテラマインドがこのキャンペーンを異常に危険なものにするのか

Teramindは正規の製品です。企業は自社所有の端末で従業員を監視するためにこれを購入します：すべてのキーストロークを記録し、一定間隔でスクリーンショットを撮影し、アクセスしたウェブサイトや起動したアプリケーションを記録し、クリップボードの内容をキャプチャし、メールやファイルの操作を追跡します。

企業環境において、従業員に周知され方針が整備されている場合、これは合法である。しかし、同じ機能を個人の端末に密かにインストールすることは、全く別問題である。

攻撃者は独自のマールウェアを作成しなかった。彼らは、再起動後も確実に動作し持続するように設計された、専門的に開発された商用製品を展開した。これにより、多くの従来型マルウェア種よりも耐久性が高くなっている。

ファイル自体は正規のソフトウェアに属するため、既知の悪意あるコードのみを検知する従来のアンチウイルスツールでは検出されない可能性があります。文脈が重要です。個人のデバイスに同意なく監視ソフトウェアがインストールされた場合、それはストーカーウェアと呼ばれるカテゴリーに該当します。ストーカーウェアとは、本人の知らないうちに監視を行うために使用されるソフトウェアです。

影響を受けた可能性がある場合の対応方法

もしuswebzoomus[.]com/zoom/にアクセスし、上記の名前のファイルがダウンロードされた場合：

開けないでください。

既に実行した場合は、デバイスが侵害されたものとして扱ってください。

インストールフォルダを確認してください：

ファイルエクスプローラーを開く。
移動する C:\ProgramData.
「」という名前のフォルダを探してください {4CEC2908-5CE4-48F0-A717-8FC833D8017A}.

ProgramDataはデフォルトで非表示になっています。ファイルエクスプローラーで「表示」を選択し、「隠しファイル」を有効にしてください。

サービスが実行中かどうかを確認します：

管理者としてコマンドプロンプトを開く。
Type:sc query tsvchst
Enterキーを押してください。

表示される場合 STATE: 4 RUNNINGエージェントはアクティブです。サービスが存在しない場合、デフォルト設定ではインストールされていません。

重要なアカウント（メール、銀行、仕事用）のパスワードは、別の安全な端末から変更してください。

職場のコンピューターでこの現象が発生した場合は、直ちにIT部門またはセキュリティチームに連絡してください。

将来、同様の攻撃を避けるために：

デバイス上のアプリから直接Zoomを開く。
予期しないリンクをクリックする代わりに、ご自身でブラウザに「zoom.us」と入力してください。
特に期待していなかったリンクには注意してください。

結びの言葉

攻撃者が独自にツールを開発する代わりに、正規の商用ソフトウェアを利用する静かながらも拡大しつつある傾向がある。Teramindのようなツールは、実在する企業の製品としての信頼性を帯びてマシンに侵入する。そして、その信頼性こそが、許可なくツールを展開する者にとって有用な理由なのである。

この攻撃は高度な技術に依存していない。新たなハッキング手法は使用されていない。攻撃者は説得力のある偽のZoomページを作成し、訪問者が不審に思う前に自動ダウンロードを起動させ、偽のMicrosoft Store画面で全てを説明した。クリックからインストールまで30秒もかからない。Zoomの招待を期待していた人が、Microsoftのインストールが進行中のように見える画面を見ても、何も異常が起きていないと思い込んで立ち去る可能性は十分にある。

Zoomは頻繁になりすましの標的となります。なぜなら、人々はメールやテキストメッセージ、Slack、カレンダー招待を通じて会議リンクを受け取り、すぐにクリックしてしまうからです。リンクが本当にzoom.usに接続されるか確認するために5秒かけることは、深刻な問題を予防できる簡単な習慣です。