偽の「Get Windows 11」サイトでマルウェアキャンペーン 7
ストーリー by headless
偽物 部門より
偽物 部門より
MicrosoftがWindows 11アップグレード提供計画がロールアウトの最終段階に入ったと発表した翌日の1月27日、ロシアで偽の「Get Windows 11」ページをホストするドメイン「windows-upgraded.com」が登録されていたそうだ
(HP Wolf Security Blog の記事、
Neowin の記事、
On MSFT の記事、
Windows Central の記事)。
現在はこのドメインにアクセスできなくなっているが、HP Wolf Security によれば偽ページは Microsoft の「Get Windows 11」ページ (本物 ) そっくりで、互換性チェックのボタンがダウンロードボタンに置き換えられていたようだ。なお、理由は不明だが、偽ページの Google キャッシュは本物ページのキャッシュになっている。ダウンロードできるファイル「Windows11InstallationAssistant.zip」のサイズは 1.5 MB だが、展開すると 753 MB まで増加したという。実行ファイル「Windows11InstallationAssistant.exe」のサイズは 751 MB あり、大半が 0x30 でパディングされている。
パディングの目的の一つはマルウェアの検出を困難にするためとみられ、HP ではパディング除去してから実行ファイルの分析を行っている。ファイルを実行すると PowerShell プロセスが起動して 21 秒後に「win11.jpg」がダウンロードされる。このファイルは画像ファイルではなく DLL を反転させたもので、復元後の DLL は情報収集マルウェア RedLine Stealer のペイロードだったという。このキャンペーンについて、12 月に偽の Discord サイトで行われたキャンペーンとの関連も指摘されている。
HP では今回のキャンペーンについて、攻撃者がマルウェアを配布するため注目すべき出来事に素早く乗っかってくることを示すものだとし、ソフトウェアは信頼できるソースからのみダウンロードするよう注意喚起している。
現在はこのドメインにアクセスできなくなっているが、HP Wolf Security によれば偽ページは Microsoft の「Get Windows 11」ページ (本物 ) そっくりで、互換性チェックのボタンがダウンロードボタンに置き換えられていたようだ。なお、理由は不明だが、偽ページの Google キャッシュは本物ページのキャッシュになっている。ダウンロードできるファイル「Windows11InstallationAssistant.zip」のサイズは 1.5 MB だが、展開すると 753 MB まで増加したという。実行ファイル「Windows11InstallationAssistant.exe」のサイズは 751 MB あり、大半が 0x30 でパディングされている。
パディングの目的の一つはマルウェアの検出を困難にするためとみられ、HP ではパディング除去してから実行ファイルの分析を行っている。ファイルを実行すると PowerShell プロセスが起動して 21 秒後に「win11.jpg」がダウンロードされる。このファイルは画像ファイルではなく DLL を反転させたもので、復元後の DLL は情報収集マルウェア RedLine Stealer のペイロードだったという。このキャンペーンについて、12 月に偽の Discord サイトで行われたキャンペーンとの関連も指摘されている。
HP では今回のキャンペーンについて、攻撃者がマルウェアを配布するため注目すべき出来事に素早く乗っかってくることを示すものだとし、ソフトウェアは信頼できるソースからのみダウンロードするよう注意喚起している。
Get Wildに空目 (スコア:1)
そんなに好き好んで11に更新したい奴なんていないから意味ないんじゃない?と個人的には思っていますが、意外に「更新したい」とか「更新しなきゃならないんでしょ?」という意見も周囲から聞こえてくるのでこういうサイトに引っかかる人も居るんでしょうね。
Re: (スコア:0)
そりゃ、11に限らずOSのアップグレードなんて無駄な作業だし、加えて11は魅力のない内容だけど、
アップグレードしなきゃサポートも切られるからね。
10のサポート終了は2025年10月14日。ちょうど、あと3年と8カ月だぜ。
今回はCPUの縛りもきついから、2025年になってあたふたするところも多そうだし。
(自分の使っているPCも、自宅・会社ともCPUが非対応だから、マシンごと買い替えなきゃならんのが面倒)
ギリギリまで粘るより、ちょっと余裕をもって移行を始めるのは悪い判断ではないと思う。
「Windows 10が最後のWindows」とかいう話はどこにいったのかねぇ……。
まあ、そんなヨタ話、信じている人は多くなかったと思うが。
# WSLgにはちょっと興味がある。まだ試せてないけど。
Re: (スコア:0)
初物なんだから嫌な人は急いで上げることないのにね。上げるのが好きな人は上げればいいし。
「DLL を反転させたもの」、「パディングさせたもの」 (スコア:0)
今のマルウェアは本当に巧妙なので、境界ネットワークには
ちゃんとしてセキュリティ対策をしておきませう。
Re: (スコア:0)
境界ネットワークってルータのこと?
Re: (スコア:0)
2ちゃんにイタズラバイナリを貼るのが流行っていたころから、zipボムタイプ(不自然に展開結果が激増する)は警告出たと思う
せめて、民間人であっても、得体の知れないバイナリは個別検査しないとダメだw そのひと手間が、大きく己を助ける
Google キャッシュは本物ページのキャッシュに (スコア:0)
偽サイトがホンモノをガワとして表示しててそれをキャッシュしたのでは?