フェイクアップデート

ほぼこもセキュリティニュース By Terilogy Worx

Windowsパソコンを使用しているとき、何かの拍子にWindows Updateなどのパソコンの更新を促されて作業の中断が必要になることがありますよね。
通常であればそれは本当の更新機能なのだと思います。
でも、そうではないものの場合があるというお話です。
次のような流れで動きます。

  • パソコン使用者がWebを閲覧している
  • どこかのWebサイトを見ていると更新作業を促す内容が表示される
  • 画面で案内される更新プログラムを入手して動作させると更新作業が開始される
    画面全体が水色になってパーセント表示がどんどん進んでいく、例の画面です。
  • マルウェアが動作を開始する
    開始されるマルウェアはAuroraインフォスティーラーです。
    情報の抜き取りが開始されます。

どういうことなのでしょうか。
攻撃者は多くのWebサイトを侵害して仕掛けをして待ち構えます。
更新プログラムとして入手されたものは、ブラウザの全画面表示で動作するように書かれたWindows Updateに見える画面表示機能を持つローダーでした。
パソコンの利用者の目には、さっさと済ましてしまいたい面倒な更新作業のように見えますが、その裏側で実施される仕事の内容はマルウェアの感染活動です。

ローダーは感染活動開始の前に環境の確認を行います。
今回のマルウェアローダーの場合には、環境に所定のベンダーのグラフィックカードが搭載されているかを確認する、というものでした。
これは仮想マシンなどの検証環境で検査されているのかそうでないのかを確認するという意味で実装されているものだと考えられます。
これが功を奏していたのか、このローダーは4月初旬に登場が検出されてから2週間以上、VirusTotalに登録されているどのアンチウイルス機構でも検出できない状態が継続していました。

いまではもうこのローダーはいくつものアンチウイルス機構で検出される状態となっています。
しかし安心はできません。
ローダーが持ち込むペイロード部分のマルウェアだけでなく、ローダー部分のマルウェアも日々変更されていきます。

いろいろなマルウェアがあって注意が必要なことは多くの人が認識しています。
そして正規の入手先でないところから入手したドキュメントファイルは取り扱いに注意が必要なことも認識していることと思います。
利用環境のパッチ適用などの作業が重要であることも多くの人が認識しています。
このマルウェアはそのような意識のスキを突いたものとなっています。

参考記事(外部リンク):Fake system update drops Aurora stealer via Invalid Printer
loader

www.malwarebytes.com/blog/threat-intelligence/2023/05/fake-system-update-drops-new-highly-evasive-loader