イベントの招待状を電子メールで受け取った場合は、実際には何も招待されていない可能性があるため、出欠を表明する前にそれが正当なものであることを確認してください。 Malwarebytes Labs は、脅威アクターがパーティの招待状を利用してユーザーを騙し、感染したデバイスを完全に制御できるリモート アクセス ツール (RAT) をインストールさせる新たな詐欺を特定しました。 (この特定のキャンペーンは英国に限定されているようですが、同様の戦術は簡単に広がる可能性があります。)
これらの悪意のある招待には、ScreenConnect インストーラーが含まれています
この詐欺は、友人や知人から送信されたように見える、非公式な「日付を保存してください」という雰囲気の無害に見える電子メールの招待状から始まります。メッセージには、イベントの詳細を確認するための「招待状を表示」へのリンクが含まれています。クリックして進むと、太字の「招待されました」というヘッダーと招待状をダウンロードするボタンが表示されたランディング ページが表示されますが、実際にはそれ以上のアクションを行う必要はありません。ブラウザーによって .msi ファイルのダウンロードが自動的にトリガーされます。このファイルは、実際にはパーティの招待状や出欠確認フォームではなく、インストーラーです。
MSI は、ユーザーのマシンへのリモート アクセスを可能にする正規の IT サポート ツールである ScreenConnect クライアントをサイレント インストールします。この接続が確立されると、攻撃者は、コンピュータを再起動した場合でも、画面を表示し、マウスとキーボードを制御し、ファイルをアップロードまたはダウンロードできるようになります。これらはすべてバックグラウンドで行われ、リモート アクセス ツールがインストールされて実行中であることを示す明らかな兆候はないため、被害者が心配する必要はありません。
これらのリモート アクセスに関する危険信号を知っておく必要があります
Malwarebytes が指摘しているように、この計画が成功しているのは、イベントへの招待状を開くという、一見低リスクに見える状況における人間の通常の行動に依存しているからです。珍しいのは、最初のメッセージにプレッシャーや緊急性がほとんどないことです。代わりに、ランディング ページには「友達が招待状を送ってきた」や「私のものを開いたらとても簡単だった」などの文言があり、ユーザーが望む行動を取るよう導く社会的証明の一種です。
外部サイトへのリンクが記載された通常の電子メールで送信される一方的な招待や、ソフトウェアのダウンロードやインストールを促す通信には常に注意する必要があります。最近では、招待状は Partiful、Paperless Post、Evite、Apple Invites などのアプリやデジタル サービスを通じて配信されるのが一般的で、一般にハイパーリンク付きのテキストが含まれるランダムな電子メールよりも信頼性が高くなります。招待が本物かどうかわからない場合は、何かをクリックしたりダウンロードしたりする前に、別のチャネルを通じて送信者に確認してください。
これまでのところどう思いますか?
前述したように、この詐欺の被害者は、自分のデバイスに RAT がインストールされていることにすぐには気づかない可能性があります。ただし、原因不明のカーソルの動きやウィンドウが勝手に開いたり閉じたりするなど、危険信号もいくつかあります。マシンに「RSVPPartyInvitationCard.msi」という名前のファイル、またはタイトルにランダムな文字が追加された ScreenConnect Client というサービスが存在するかどうかを確認できます。
Malwarebytes は、悪意のある招待からすでに ScreenConnect をダウンロードしている場合は、インターネットから切断し、プログラムを直ちにアンインストールすることを推奨しています。セキュリティ スキャンを実行してデバイスにマルウェアがないか確認し、別のデバイスから重要なパスワードを変更します。