Windows Centralは4月14日(米国時間)、「"Zero detections across 69 engines": A fake Windows 11 24H2 update is slipping past antivirus to try and steal your passwords|Windows Central」において、偽のWindowsUpdateを配布する悪意のあるWebサイトが発見されたと報じた。この偽アップデートを実行すると、保存されたパスワードや個人情報が窃取される可能性がある。

配布されたファイルは既存の主要なセキュリティソリューションの検出を回避し、2つの情報窃取マルウェアを展開するという。

偽のWindows Updateはどうやって信用させるのか

悪意のあるWebサイトはMalwarebytesにより発見された。配布されたマルウェアの分析も同社により行われ、詳細がブログに「This fake Windows support website delivers password-stealing malware | Malwarebytes」として公開されている。

Webサイトのドメインは「microsoft-update[.]support」で、Microsoftの公式サポートを装うタイポスクワッティングドメインが使用された。コンテンツはフランス語で記述されており、標的はフランス語圏のユーザーと推測されている。

  • 悪意のあるWebサイト(英語翻訳) - 引用:Malwarebytes

    悪意のあるWebサイト(英語翻訳) - 引用:Malwarebytes

なぜこの攻撃は成立するのか?流出情報の悪用が鍵

Malwarebytesによるとフランスを標的とするこの攻撃には理由があるという。過去2年間、フランス国内では複数の大規模なデータ漏洩事案が発生し、大手インターネットサービスプロバイダーからは1900万件の顧客情報が流出している。

攻撃者はこれら情報を入手し、スピアフィッシング攻撃や説得力のあるソーシャルエンジニアリング攻撃を仕掛けた可能性がある。プロバイダーのサポートを装い、顧客の氏名を記載したWindowsUpdateを要求するメールを送付した場合、詐欺を見破ることは困難と言える。

偽のWindows Updateはどこで見抜けるのか

偽のWindows Updateは、ファイル情報の不一致や不自然な配布経路など複数の不審点から見抜くことが可能である。

配布された実行可能ファイル名は「WindowsUpdate 1.0.0.msi」とされる。ファイルサイズは83MBで、ファイルプロパティに記載された作成日時は4月4日であることが特定されている。悪意のあるWebサイト上ではファイルサイズが245MB、公開日が4月2日となっており、いずれも一致していないことがわかる。

ファイルのインストールを開始すると、2つの情報窃取マルウェアが展開される。1つは通常の情報窃取マルウェアで、もう一方はDiscordアプリに特化した高度なマルウェアとされる。どちらのマルウェアも、主要なセキュリティソリューションによる検出に失敗したことが報告されている。

対策は何か?配布サイトのドメインを確認

不審なアップデートを回避するには、ダウンロード元のドメインが正規のものであるかを確認することが重要である。

Windows Centralはこのような攻撃を回避するために、指示の内容にかかわらず設定アプリの「Windows Update」から更新作業を実施するように推奨している。しかしながら、この方法では回避できない可能性がある。アップデートが必要と思い込んだユーザーの場合、何も更新せずエラーも警告も表示しないWindows Updateの動作を見て、「配布中のファイルが必要だ」と考える可能性がある。

そこでMalwarebytesは、配布サイトのドメインを確認するように推奨している。Microsoftはアップデートファイルを「Microsoft Update カタログ(catalog.update.microsoft.com)」から配布しており、このWebサイトが手動ダウンロード可能な唯一の公式Webサイトとされる。

そこでアップデートファイルをダウンロードする前に、ドメイン「catalog.update.microsoft.com」にアクセスしているか確認することが推奨される。本件のようにドメイン名の一部に「microsoft」の文字列が使用されていてもMicrosoftとは一切関係ないことを理解し、紛らわしいドメインを悪用する攻撃に警戒することが望まれている。