このページの本文へ

McAfee Blog

偽装「Windows Defender」をインストールさせようとするポップアップに用心!

2021年06月10日 18時00分更新

文● McAfee

  • この記事をはてなブックマークに追加
  • 本文印刷

サマリー

・Windowsプッシュ通知を利用して正規のアラートに偽装する詐欺が増えています。
・最近のキャンペーンでは、Windows Defenderのアップデートを装っています。
・被害者は、ユーザーとシステムの情報を標的とする悪質なWindowsアプリケーションのインストールを許可することになります。

 ブラウザーのプッシュ通知は、Windowsシステムの通知に非常によく似ています。先日ご紹介したように、この詐欺はプッシュ通知を乱用してユーザーにアクションを促します。最近の例では、偽のWindows Defender更新プログラムをインストールさせるために、ソーシャルエンジニアリングの手法が用いられています。トレーに表示されたポップアップによって、ユーザーにWindows Defender の更新を通知します。

 メッセージをクリックすると、偽の更新ウェブサイトに移動します。

 このサイトは、署名されたms-appinstaller(MSIX)パッケージを提供しています。ダウンロードして実行すると、「Publisher:Microsoft」から提供するとされるDefender Updateをインストールするようユーザーに促します。

 インストール後、他のWindowsアプリと同様に、「Defender Update」アプリがスタートメニューに表示されます。

   ショートカットはインストールされているマルウェアを示します:


C:\ Program Files \ WindowsApps \ 245d1cf3-25fc-4ce1-9a58-7cd13f94923a_1.0.0.0_neutral__7afzw0tp1da5e \ Bloom \ Eversible.exe

 これは、さまざまなアプリケーションや情報を標的としてデータを盗むトロイの木馬です。

・システム情報(プロセスリスト、ドライブの詳細、シリアル番号、RAM、グラフィックカードの詳細)
・アプリケーションプロファイルデータ(Chrome、Exodus wallet、Ethereum wallet、Opera、Telegram Desktop)
・ユーザーデータ(クレジットカード、FileZilla)

保護されていますか?

・Real Protect Cloudを利用しているマカフィーのお客様は、機械学習によりこの脅威から積極的に保護されています。
・ウェブプロテクション(マカフィー ウェブアドバイザーおよびMcAfee Web Controlを含む)を利用しているマカフィーのお客様は、既知の悪質なサイトから保護されています。
・McAfee Global Threat Intelligence (GTI)は、非常に低い測定量での保護を提供します。

安全に利用するためのヒント

・参照:ポップアップを停止する方法
・詐欺の手口は非常に巧妙です。即座にブロックし、一方で、時間をかけて判断してから許可した方がよいでしょう。
・疑わしい場合は、自分自身で対策しましょう。
 ・Windows Updateは、[スタート]メニューをクリックし、
  「更新プログラムの確認」と入力し、
    [システム設定]のリンクをクリックします。
  ・送信されてきたリンクをクリックするのではなく、
   ウェブアドレスを手動で入力します。
  ・電話やメールなどは、連絡する前に番号とアドレスを確認してください。

参照IOC

・MSIXインストーラー:02262a420bf52a0a428a26d86aca177796f18d1913b834b0cbed19367985e190
・exe:0dd432078b93dfcea94bec8b7e6991bcc050e6307cd1cb593583e7b5a9a0f9dc
・インストーラーのソースサイト:updatedefender [dot] online

※本ページの内容は2021年5月17日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Scammers Impersonating Windows Defender to Push Malicious Windows Apps
著者:Craig Schmugar

カテゴリートップへ

マカフィーは大切なものを守ります。