SOC Prime Bias:

10 Apr 2026 13:43 UTC

偽のWindowsサポートサイトがパスワード窃盗マルウェアを配布

Author Photo
SOC Prime Team linkedin icon フォローする
偽のWindowsサポートサイトがパスワード窃盗マルウェアを配布
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

Microsoftサポートを装ったタイポスクワットウェブサイトが偽のWindows更新MSIを配布しています。インストールされると、MSIはVBSスターターをトリガーするElectronベースのアプリを配備し、名前が変更されたPythonインタープリタを起動し、資格情報窃盗モジュールを読み込みます。盗まれたデータはRender、Cloudflare Workers、GoFileを介してルーティングされ、永続性はRunレジストリキーとスタートアップショートカットを通じて設定されます。この活動はフランス語を話すユーザー向けにカスタマイズされています。

調査

研究者たちはWindowsUpdate 1.0.0.msiを入手し、Electronラッパー(WindowsUpdate.exe)とVBSランチャー(AppLauncher.vbs)をドロップすることを確認しました。Electronプロセスは非表示のPythonランタイム(_winhost.exe)を生成し、ブラウザの資格情報、Discordトークン、支払いデータを収集するための一般的な情報窃盗ライブラリをインポートします。ネットワークテレメトリは最初のホストプロファイリングを示しています www.myexternalip.com とip-api.comを経由し、続いてdatawebsync-lvmv.onrender.comとsync-service.system-telemetry.workers.devへのC2トラフィックが続き、store8.gofile.ioにエクスフルトレーションが観察されます。永続性はHKCUSOFTWAREMicrosoftWindowsCurrentVersionRunにSecurityHealth値を作成し、ユーザーのスタートアップフォルダにSpotify.lnkを配置することによって確立されます。

緩和策

SecurityHealth Run値を削除し、ユーザーのスタートアップフォルダからSpotify.lnkを削除してください。AppDataLocalProgramsの下のWindowsUpdateディレクトリを削除し、一時的なWinGettoolsフォルダを削除します。保存されているパスワードをリセットし、MFA/2FAを有効にし、更新されたマルウェア対策を使用してフルスキャンを実行します。

対応

疑わしいMSI、VBSの実行、またはRunキーの作成に関するアラートがトリガーされた場合、ホストを隔離し、揮発性データをキャプチャし、関連するAppDataパスのフォレンジックトリアージを実行してください。特定されたC2ドメインをブロックし、リストされた偵察サービスへのトラフィックを追跡します。永続性アーティファクトを削除し、安全な更新ワークフローを強化して繰り返し実行を防ぎます。

攻撃フロー

シミュレーション実行

必須条件:テレメトリーとベースラインの事前チェックが合格している必要があります。

根拠:このセクションは、検出ルールをトリガーするために設計された対戦技術(TTP)の正確な実行を詳細に説明します。コマンドとナラティブは、特定されたTTPを直接反映し、検出論理が期待する正確なテレメトリーを生成することを目的としています。

  • 攻撃のナラティブとコマンド:
    攻撃者はユーザーのワークステーションに足場を得て、再起動をまたいで永続性を維持しながら、簡単な検査を回避したいと考えています。彼らは WindowsUpdate.exe という名前の悪意あるペイロードをユーザーのAppDataフォルダにドロップし、次に SecurityHealth という名前のRunキーを作成してこのペイロードを指し示し、合法な「Windows Security Health」サービスを故意に模倣しています。 ルールはこのキーのパスを正確に監視しているため、この活動はフラグが立てられるべきです。

    powershell
    # 1. 悪意あるペイロードをドロップ(テストのための無害なテキストファイルでシミュレート)
    $payloadPath = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe"
    New-Item -ItemType Directory -Path (Split-Path $payloadPath) -Force | Out-Null
    Set-Content -Path $payloadPath -Value "これはテスト用のダミー悪意ある実行可能ファイルです。" -Encoding ASCII
    
    # 2. SecurityHealthとして見せかける悪意あるRunキーを作成
    $runKey = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun'
    New-ItemProperty -Path $runKey -Name 'SecurityHealth' -Value $payloadPath -PropertyType String -Force
    
  • 回帰テストスクリプト:

    powershell
    # -------------------------------------------------
    # 回帰テスト – レジストリエ永続性擬装
    # -------------------------------------------------
    # 目的:Sigmaルールが期待する正確なテレメトリーを再現します。
    # Windows 10/11で管理者権限で動作します。
    
    # ペイロードの場所を定義
    $payload = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe"
    
    # ディレクトリが存在することを確認
    if (-not (Test-Path (Split-Path $payload))) {
        New-Item -ItemType Directory -Path (Split-Path $payload) -Force | Out-Null
    }
    
    # ダミーの実行可能ファイルを作成(実際のテストでは悪意あるバイナリであることを前提)
    Set-Content -Path $payload -Value "MALICIOUS_BINARY_PLACEHOLDER" -Encoding ASCII
    
    # 擬装された名前でRunキーを登録
    $runKeyPath = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun'
    New-ItemProperty -Path $runKeyPath -Name 'SecurityHealth' -Value $payload -PropertyType String -Force
    
    Write-Host "悪意あるRunキーが作成されました。間もなく検出アラートが期待されます。"
    # -------------------------------------------------
    
  • クリーンアップコマンド:

    powershell
    # 悪意あるRunキーを削除
    Remove-ItemProperty -Path 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' -Name 'SecurityHealth' -ErrorAction SilentlyContinue
    
    # ダミーペイロードファイルとそのフォルダを削除
    $payloadDir = Split-Path "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe"
    Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue
    
    Write-Host "クリーンアップ完了。"