深度剖析：攻击者如何利用虚假在线会议平台分发多平台远控木马

本文主要是介绍深度剖析：攻击者如何利用虚假在线会议平台分发多平台远控木马，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

自2023年12月以来，安全研究团队揭露了一起复杂的网络攻击活动，涉及精心构建的虚假Skype、Google Meet及Zoom网站，这些网站被用于大规模传播SpyNote（针对安卓）、NjRAT和DCRAT（针对Windows）等远控木马程序。

攻击技术架构

攻击者巧妙地在同一俄语IP地址上集中托管了一系列高度模仿真实在线会议平台的假网站，利用迷惑性URL诱骗用户下载恶意软件。以下是详细的攻击执行流程图解（参见附件“1709990957_65ec642d7315f65345ca4.png”）。

Skype攻击场景

首个曝光的虚假网站join-skype[.]info创建于12月初，旨在引诱用户误以为其为官方Skype下载渠道。尽管Apple App Store链接指向正规应用商店，但Windows用户点击下载后会获取一个伪装成Skype8.exe的恶意文件，而安卓用户则会被导向一个声称来自Google Play的Skype.apk恶意APK。

Google Meet攻击手段

至12月下旬，攻击者进一步扩展目标至Google Meet，创建了online-cloudmeeting[.]pro假冒网站，其应用程序存储路径设计得与合法Google Meet链接颇为相似，例如 `online-cloudmeeting[.]pro/gry-ucdu-fhc/`。针对Windows用户的下载链接实质上是一个名为updateZoom20243001bit.bat的批处理文件，该文件进一步下载名为ZoomDirectUpdate.exe的最终恶意样本。经分析确认，ZoomDirectUpdate.exe是一个WinRAR压缩包，内部隐藏着使用Eziriz .NET Reactor加壳保护的DCRAT远控木马。

Zoom入侵策略

到了1月份下旬，又出现了冒充Zoom的网站us06webzoomus[.]pro，其网址中的会议ID样式与Zoom客户端生成的真实会议ID极其相近，比如 `us06webzoomus[.]pro/l/62202342233720Yzhkb3dHQXczZG1XS1Z3Sk9kenpkZz09/`。无论是安卓用户通过点击Google Play下载Zoom02.apk（实为SpyNote远控木马），还是Windows用户下载的BAT文件间接导致DCRAT的植入，攻击者均成功实现了跨平台的恶意软件散播。

其他恶意组件与活动痕迹

值得注意的是，除了直接通过虚假会议网站分发远控木马之外，攻击者还在Google Meet和Zoom的虚假网站公开目录下放置了额外的恶意文件。driver.exe和meet.exe两个Windows可执行文件被证实都是NjRAT变种，这揭示了攻击者可能正通过多样化的攻击载体扩大恶意软件的传播范围。

结论与应对策略

本研究揭示了一种针对性极强且手法隐蔽的网络攻击方式，攻击者利用用户对知名在线会议平台的信任心理，通过假冒网站分发跨安卓和Windows平台的远控木马。鉴于此类威胁持续升级且愈发复杂，广大用户和技术社群应当高度重视，采取包括但不限于以下措施加强防御：

1. 强化安全意识教育：提醒用户谨慎识别和验证下载来源，避免从非官方渠道下载软件。
2. 实施严格的域名过滤：企业级网络可通过防火墙规则或DNS安全策略阻止访问可疑或非认证的在线会议相关域名。
3. 更新防病毒解决方案：确保终端安全软件能够及时检测并拦截上述提及的恶意软件家族。
4. 监控网络流量异常：通过SIEM系统或其他网络监测工具检测潜在的非法远程控制通信。
5. 定期审计与补丁管理：保持操作系统和其他关键软件的最新更新状态，减少漏洞暴露风险。

只有深入了解此类攻击的手法和技术细节，才能更好地制定有效的防护策略，对抗日益猖獗的网络犯罪活动。