クレカ情報や暗号資産を盗む悪質な「偽Windows 11インストーラ」に注意

偽インストーラを配布しているサイト

　米HPのセキュリティ研究者は8日(米国時間)、Windowsのアップグレードを騙ったドメインで、ユーザーの個人情報を盗む悪意のある「偽Windows 11インストーラ」を配布している事象について警鐘を促している。

　ドメインは1月27日にロシア・モスクワで登録された。ここにアクセスすると、Microsoft正規のWindows 11のサイトをそのままそっくりコピーしたページが表示され、「今すぐダウンロード」というボタンをクリックすると「Windows11InstallationAssistant.zip」というファイルがダウンロードされる。

　この圧縮ファイルはわずか1.5MBとなっており、6つのWindows DLL、XMLファイル、およびポータブル実行可能なファイルが含まれている。圧縮ファイルを解凍すると合計753MBのフォルダが作成され、実行可能ファイルであるWindows11InstallationAssisant.exeの容量は751MBとなる。ただ、ファイルの大部分は0x30で埋められており、ファイルの実行には関係がなかったという。

　実行ファイルを分析したところ、起動後にPowerShellプロセスを起動し、cmd.exeが呼び出され、21秒経過したあとにwin11.jpgという名前のファイルがWebサーバーからダウンロードされる。win11.jpgの実態は、単純に内容が逆になっているDLLで、初期プロセスによってこのDLLがロード・再実行されると、情報を盗むRedLine Stealerのペイロードになる。

　RedLine Stealerは、実行環境の情報に加え、Webブラウザからパスワードやクレジットカード情報などのオートコンプリートデータ、暗号通貨ファイルとウォレットなどを盗むマルウェアで、盗み出された後はC2サーバーとTCP接続し、攻撃者に情報を渡したり、さらなる指示を受けたりする状態になる。

　HPによれば、2021年12月にも人気のチャットソフト「Discord」を騙ったRedLine Stealerが確認されており、人気や話題のアプリを装って配信されているという。このため、信頼できるソースからソフトウェアをダウンロードするよう注意を呼びかけている。