サマリー
- Windowsプッシュ通知を利用して正規のアラートに偽装する詐欺が増えています。
- 最近のキャンペーンでは、Windows Defenderのアップデートを装っています。
- 被害者は、ユーザーとシステムの情報を標的とする悪質なWindowsアプリケーションのインストールを許可することになります。
ブラウザのプッシュ通知は、Windowsシステムの通知に非常によく似ています。先日ご紹介したように、この詐欺はプッシュ通知を乱用してユーザーにアクションを促します。最近の例では、偽のWindows Defender更新プログラムをインストールさせるために、ソーシャルエンジニアリングの手法が用いられています。トレーに表示されたポップアップによって、ユーザーにWindows Defender の更新を通知します。
メッセージをクリックすると、偽の更新Webサイトに移動します。
このサイトは、署名されたms-appinstaller(MSIX)パッケージを提供しています。ダウンロードして実行すると、「Publisher:Microsoft」から提供するとされるDefender Updateをインストールするようユーザーに促します。
インストール後、他のWindowsアプリと同様に、「Defender Update」アプリがスタートメニューに表示されます。
ショートカットはインストールされているマルウェアを示します:
C:\ Program Files \ WindowsApps \ 245d1cf3-25fc-4ce1-9a58-7cd13f94923a_1.0.0.0_neutral__7afzw0tp1da5e \ Bloom \ Eversible.exe
これは、さまざまなアプリケーションや情報を標的としてデータを盗むトロイの木馬です。
- システム情報(プロセスリスト、ドライブの詳細、シリアル番号、RAM、グラフィックカードの詳細)
- アプリケーションプロファイルデータ(Chrome、Exodus wallet、Ethereum wallet、Opera、Telegram Desktop)
- ユーザーデータ(クレジットカード、FileZilla)
保護されていますか?
- Real Protect Cloudを利用しているマカフィーのお客様は、機械学習によりこの脅威から積極的に保護されています。
- webプロテクション(マカフィー ウェブアドバイザーおよびMcAfee Web Controlを含む)を利用しているマカフィーのお客様は、既知の悪質なサイトから保護されています。
- McAfee Global Threat Intelligence (GTI)は、非常に低い測定量での保護を提供します。
安全に利用するためのヒント
- 参照:ポップアップを停止する方法
- 詐欺の手口は非常に巧妙です。即座にブロックし、一方で、時間をかけて判断してから許可した方がよいでしょう。
- 疑わしい場合は、自分自身で対策しましょう。
- Windows Updateは、[スタート]メニューをクリックし、「更新プログラムの確認」と入力して、[システム設定]のリンクをクリックします。
- 送信されてきたリンクをクリックするのではなく、Webアドレスを手動で入力します。
- 電話やメールなどは、連絡する前に番号とアドレスを確認してください。
参照IOC
- MSIXインストーラー:02262a420bf52a0a428a26d86aca177796f18d1913b834b0cbed19367985e190
- exe:0dd432078b93dfcea94bec8b7e6991bcc050e6307cd1cb593583e7b5a9a0f9dc
- インストーラーのソースサイト:updatedefender [dot] online
※本ページの内容は2021年5月17日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Scammers Impersonating Windows Defender to Push Malicious Windows Apps
著者:Craig Schmugar