偽サイト

いろいろな便利なアプリがあります。
WindowsでもLinuxでもmacOSでも、欲しいと思うものは大抵どこかの誰かが作って公開しています。
なにかの特定の効能を持ったアプリを探すとき、みなさんはどうやって探しているでしょうか。

キーワードで検索して探す、ランキング情報から探す、いろいろな方法があることと思います。

アプリを入手するときにそのサイトが正当なサイトであるかを意識する、というのは、もう意識されている方が増えているのではないかと思います。
Webのコンテンツは、WebブラウザがWebサイトからダウンロードして表示しているという仕組みですので、どこかのWebサイトを模倣することは難しくありません。
本家のダウンロードサイトにそっくりな偽サイトに注意が必要、ということです。
いわゆる偽サイトですね。

偽サイトというと、無意識のうちにアプリの配布元の偽サイトに注意するというイメージがありますが、それに限った話ではないという事例が確認されています。
偽のニュースサイトを経由したマルウェアの配布が確認されています。
こんな流れで進行します。

• Web検索で「cpu-z」を検索する
  cpu-zは人気のフリーソフトです。
  プロセッサやその他のコンピュータハードウェアの詳細を確認できるもので、パソコンの状態を詳細に確認したい人が利用します。
  トラブルシューティングしたい場面などでWindowsユーザーに人気のユーティリティです。

   

• 検索結果上位に表示された検索結果をクリックする
  検索結果上位にはいくつかの広告記事が表示されます。
  そのなかにニュースサイトのなかからcpu-zを入手できるようになっていると見えるものが見つかります。
  検索を実施した人の中の一定数の人がこういったものをクリックします。

   

• クローキング
  広告のリンクをクリックしたその時に手元に転送されてくる内容には、悪意ある内容はまだ含まれていません。
  ただし、クリックした人の属性を確認する機構が含まれています。
  調査を実施する通信だと判定された場合は、無害なコンテンツの置かれたサイトに誘導されていきます。
  しかし、そうでないと判定された場合、偽のニュースサイトに誘導されていきます。

   

• 偽のWindowsReport.com
  WindowsReport.comは、パソコンに関連するチュートリアル情報や最新ニュースなどを含む、多くの記事を読むことのできるサイトです。
  この正規のサイトの中に、cpu-zのダウンロードが行えるコンテンツがあるのですが、それをそっくりに模倣したサイトに誘導されます。
  この模倣サイトのダウンロードボタンからアプリのダウンロードを行うことができます。

   

• 偽のダウンロードボタンをクリックする
  ダウンロードすると、デジタル署名されたMSIXインストーラーファイルが手元に転送されてきます。
  署名されていますので、このインストーラーをダブルクリックしても、警告は表示されないでしょう。
  このMSIXの設置する内容には、FakeBatとして知られるローダーが含まれています。
  そして、FakeBatはRedlineスティーラーを持ってきます。

偽のアプリ開発者のサイトに注意、ということだけでなく、偽のニュースサイトにも注意ということですね。
検索広告からマルウェアに繋がっていくという例は増え続けています。
なにかをクリックする際には、訪問しようとしているドメインと、読み込まれたサイトのドメインが一致しているか確認することを心掛けたいですね。

参考記事（外部リンク）：Malvertiser copies PC news site to deliver infostealer
www.malwarebytes.com/blog/threat-intelligence/2023/11/malvertiser-copies-pc-news-site-to-deliver-infostealer