パスワードを忘れた? アカウント作成
15566090 story
Windows

偽の「Get Windows 11」サイトでマルウェアキャンペーン 7

ストーリー by headless
偽物 部門より
MicrosoftがWindows 11アップグレード提供計画がロールアウトの最終段階に入ったと発表した翌日の1月27日、ロシアで偽の「Get Windows 11」ページをホストするドメイン「windows-upgraded.com」が登録されていたそうだ (HP Wolf Security Blog の記事Neowin の記事On MSFT の記事Windows Central の記事)。

現在はこのドメインにアクセスできなくなっているが、HP Wolf Security によれば偽ページは Microsoft の「Get Windows 11」ページ (本物 ) そっくりで、互換性チェックのボタンがダウンロードボタンに置き換えられていたようだ。なお、理由は不明だが、偽ページの Google キャッシュは本物ページのキャッシュになっている。ダウンロードできるファイル「Windows11InstallationAssistant.zip」のサイズは 1.5 MB だが、展開すると 753 MB まで増加したという。実行ファイル「Windows11InstallationAssistant.exe」のサイズは 751 MB あり、大半が 0x30 でパディングされている。

パディングの目的の一つはマルウェアの検出を困難にするためとみられ、HP ではパディング除去してから実行ファイルの分析を行っている。ファイルを実行すると PowerShell プロセスが起動して 21 秒後に「win11.jpg」がダウンロードされる。このファイルは画像ファイルではなく DLL を反転させたもので、復元後の DLL は情報収集マルウェア RedLine Stealer のペイロードだったという。このキャンペーンについて、12 月に偽の Discord サイトで行われたキャンペーンとの関連も指摘されている。

HP では今回のキャンペーンについて、攻撃者がマルウェアを配布するため注目すべき出来事に素早く乗っかってくることを示すものだとし、ソフトウェアは信頼できるソースからのみダウンロードするよう注意喚起している。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年02月14日 9時07分 (#4199480)

    そんなに好き好んで11に更新したい奴なんていないから意味ないんじゃない?と個人的には思っていますが、意外に「更新したい」とか「更新しなきゃならないんでしょ?」という意見も周囲から聞こえてくるのでこういうサイトに引っかかる人も居るんでしょうね。

    • by Anonymous Coward

      そりゃ、11に限らずOSのアップグレードなんて無駄な作業だし、加えて11は魅力のない内容だけど、
      アップグレードしなきゃサポートも切られるからね。
      10のサポート終了は2025年10月14日。ちょうど、あと3年と8カ月だぜ。
      今回はCPUの縛りもきついから、2025年になってあたふたするところも多そうだし。
      (自分の使っているPCも、自宅・会社ともCPUが非対応だから、マシンごと買い替えなきゃならんのが面倒)
      ギリギリまで粘るより、ちょっと余裕をもって移行を始めるのは悪い判断ではないと思う。

      「Windows 10が最後のWindows」とかいう話はどこにいったのかねぇ……。
      まあ、そんなヨタ話、信じている人は多くなかったと思うが。

      # WSLgにはちょっと興味がある。まだ試せてないけど。

    • by Anonymous Coward

      初物なんだから嫌な人は急いで上げることないのにね。上げるのが好きな人は上げればいいし。

  • 今のマルウェアは本当に巧妙なので、境界ネットワークには
    ちゃんとしてセキュリティ対策をしておきませう。

    • by Anonymous Coward

      境界ネットワークってルータのこと?

    • by Anonymous Coward

      2ちゃんにイタズラバイナリを貼るのが流行っていたころから、zipボムタイプ(不自然に展開結果が激増する)は警告出たと思う
      せめて、民間人であっても、得体の知れないバイナリは個別検査しないとダメだw そのひと手間が、大きく己を助ける

  • by Anonymous Coward on 2022年02月13日 19時09分 (#4199332)

    偽サイトがホンモノをガワとして表示しててそれをキャッシュしたのでは?

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...