偽の「Get Windows 11」サイトでマルウェアキャンペーン
2022年2月13日 19:59
MicrosoftがWindows 11アップグレード提供計画がロールアウトの最終段階に入ったと発表した翌日の1月27日、ロシアで偽の「Get Windows 11」ページをホストするドメイン「windows-upgraded.com」が登録されていたそうだ(HP Wolf Security Blog の記事、Neowin の記事、On MSFT の記事、Windows Central の記事)。
現在はこのドメインにアクセスできなくなっているが、HP Wolf Security によれば偽ページは Microsoft の「Get Windows 11」ページ (本物 ) そっくりで、互換性チェックのボタンがダウンロードボタンに置き換えられていたようだ。なお、理由は不明だが、偽ページの Google キャッシュは本物ページのキャッシュになっている。ダウンロードできるファイル「Windows11InstallationAssistant.zip」のサイズは 1.5 MB だが、展開すると 753 MB まで増加したという。実行ファイル「Windows11InstallationAssistant.exe」のサイズは 751 MB あり、大半が 0x30 でパディングされている。
パディングの目的の一つはマルウェアの検出を困難にするためとみられ、HP ではパディング除去してから実行ファイルの分析を行っている。ファイルを実行すると PowerShell プロセスが起動して 21 秒後に「win11.jpg」がダウンロードされる。このファイルは画像ファイルではなく DLL を反転させたもので、復元後の DLL は情報収集マルウェア RedLine Stealer のペイロードだったという。このキャンペーンについて、12 月に偽の Discord サイトで行われたキャンペーンとの関連も指摘されている。
HP では今回のキャンペーンについて、攻撃者がマルウェアを配布するため注目すべき出来事に素早く乗っかってくることを示すものだとし、ソフトウェアは信頼できるソースからのみダウンロードするよう注意喚起している。