サマリー
・Windowsプッシュ通知を利用して正規のアラートに偽装する詐欺が増えています。
・最近のキャンペーンでは、Windows Defenderのアップデートを装っています。
・被害者は、ユーザーとシステムの情報を標的とする悪質なWindowsアプリケーションのインストールを許可することになります。
ブラウザーのプッシュ通知は、Windowsシステムの通知に非常によく似ています。先日ご紹介したように、この詐欺はプッシュ通知を乱用してユーザーにアクションを促します。最近の例では、偽のWindows Defender更新プログラムをインストールさせるために、ソーシャルエンジニアリングの手法が用いられています。トレーに表示されたポップアップによって、ユーザーにWindows Defender の更新を通知します。
メッセージをクリックすると、偽の更新ウェブサイトに移動します。
このサイトは、署名されたms-appinstaller(MSIX)パッケージを提供しています。ダウンロードして実行すると、「Publisher:Microsoft」から提供するとされるDefender Updateをインストールするようユーザーに促します。
インストール後、他のWindowsアプリと同様に、「Defender Update」アプリがスタートメニューに表示されます。
ショートカットはインストールされているマルウェアを示します:
C:\ Program Files \ WindowsApps \ 245d1cf3-25fc-4ce1-9a58-7cd13f94923a_1.0.0.0_neutral__7afzw0tp1da5e \ Bloom \ Eversible.exe
これは、さまざまなアプリケーションや情報を標的としてデータを盗むトロイの木馬です。
・システム情報(プロセスリスト、ドライブの詳細、シリアル番号、RAM、グラフィックカードの詳細)
・アプリケーションプロファイルデータ(Chrome、Exodus wallet、Ethereum wallet、Opera、Telegram Desktop)
・ユーザーデータ(クレジットカード、FileZilla)
保護されていますか?
・Real Protect Cloudを利用しているマカフィーのお客様は、機械学習によりこの脅威から積極的に保護されています。
・ウェブプロテクション(マカフィー ウェブアドバイザーおよびMcAfee Web Controlを含む)を利用しているマカフィーのお客様は、既知の悪質なサイトから保護されています。
・McAfee Global Threat Intelligence (GTI)は、非常に低い測定量での保護を提供します。
安全に利用するためのヒント
・参照:ポップアップを停止する方法
・詐欺の手口は非常に巧妙です。即座にブロックし、一方で、時間をかけて判断してから許可した方がよいでしょう。
・疑わしい場合は、自分自身で対策しましょう。
・Windows Updateは、[スタート]メニューをクリックし、
「更新プログラムの確認」と入力し、
[システム設定]のリンクをクリックします。
・送信されてきたリンクをクリックするのではなく、
ウェブアドレスを手動で入力します。
・電話やメールなどは、連絡する前に番号とアドレスを確認してください。
参照IOC
・MSIXインストーラー:02262a420bf52a0a428a26d86aca177796f18d1913b834b0cbed19367985e190
・exe:0dd432078b93dfcea94bec8b7e6991bcc050e6307cd1cb593583e7b5a9a0f9dc
・インストーラーのソースサイト:updatedefender [dot] online
※本ページの内容は2021年5月17日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Scammers Impersonating Windows Defender to Push Malicious Windows Apps
著者:Craig Schmugar