偽のWindowsサポートサイトがパスワード窃盗マルウェアを配布
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Microsoftサポートを装ったタイポスクワットウェブサイトが偽のWindows更新MSIを配布しています。インストールされると、MSIはVBSスターターをトリガーするElectronベースのアプリを配備し、名前が変更されたPythonインタープリタを起動し、資格情報窃盗モジュールを読み込みます。盗まれたデータはRender、Cloudflare Workers、GoFileを介してルーティングされ、永続性はRunレジストリキーとスタートアップショートカットを通じて設定されます。この活動はフランス語を話すユーザー向けにカスタマイズされています。
調査
研究者たちはWindowsUpdate 1.0.0.msiを入手し、Electronラッパー(WindowsUpdate.exe)とVBSランチャー(AppLauncher.vbs)をドロップすることを確認しました。Electronプロセスは非表示のPythonランタイム(_winhost.exe)を生成し、ブラウザの資格情報、Discordトークン、支払いデータを収集するための一般的な情報窃盗ライブラリをインポートします。ネットワークテレメトリは最初のホストプロファイリングを示しています www.myexternalip.com とip-api.comを経由し、続いてdatawebsync-lvmv.onrender.comとsync-service.system-telemetry.workers.devへのC2トラフィックが続き、store8.gofile.ioにエクスフルトレーションが観察されます。永続性はHKCUSOFTWAREMicrosoftWindowsCurrentVersionRunにSecurityHealth値を作成し、ユーザーのスタートアップフォルダにSpotify.lnkを配置することによって確立されます。
緩和策
SecurityHealth Run値を削除し、ユーザーのスタートアップフォルダからSpotify.lnkを削除してください。AppDataLocalProgramsの下のWindowsUpdateディレクトリを削除し、一時的なWinGettoolsフォルダを削除します。保存されているパスワードをリセットし、MFA/2FAを有効にし、更新されたマルウェア対策を使用してフルスキャンを実行します。
対応
疑わしいMSI、VBSの実行、またはRunキーの作成に関するアラートがトリガーされた場合、ホストを隔離し、揮発性データをキャプチャし、関連するAppDataパスのフォレンジックトリアージを実行してください。特定されたC2ドメインをブロックし、リストされた偵察サービスへのトラフィックを追跡します。永続性アーティファクトを削除し、安全な更新ワークフローを強化して繰り返し実行を防ぎます。
攻撃フロー
検出
プロキシ経由のサードパーティサービス/ツールを介した可能性のあるデータ侵入/流失/C2
表示
dns経由の可能性のあるIPルックアップドメイン通信試行
表示
dns経由のサードパーティサービス/ツールを介した可能性のあるデータ侵入/流失/C2
表示
自動起動ロケーションでの疑わしいバイナリ/スクリプト(file_event経由)
表示
LOLBAS WScript / CScript(process_creation経由)
表示
可能な永続性ポイント[ASEPs – Software/NTUSER Hive](registry_event経由)
表示
検出のためのIOCs(HashSha256):この偽のWindowsサポートウェブサイトはパスワード窃盗マルウェアを配信します
表示
パスワードスティーラーマルウェアに関連する疑わしいネットワーク接続[Windowsネットワーク接続]
表示
偽のWindowsサポートサイトがパスワード窃盗マルウェアを配信[Windowsプロセス作成]
表示
偽のWindows Security Healthエントリを介したレジストリ永続性[Windowsレジストリエベント]
表示
シミュレーション実行
必須条件:テレメトリーとベースラインの事前チェックが合格している必要があります。
根拠:このセクションは、検出ルールをトリガーするために設計された対戦技術(TTP)の正確な実行を詳細に説明します。コマンドとナラティブは、特定されたTTPを直接反映し、検出論理が期待する正確なテレメトリーを生成することを目的としています。
-
攻撃のナラティブとコマンド:
攻撃者はユーザーのワークステーションに足場を得て、再起動をまたいで永続性を維持しながら、簡単な検査を回避したいと考えています。彼らは WindowsUpdate.exe という名前の悪意あるペイロードをユーザーのAppDataフォルダにドロップし、次に SecurityHealth という名前のRunキーを作成してこのペイロードを指し示し、合法な「Windows Security Health」サービスを故意に模倣しています。 ルールはこのキーのパスを正確に監視しているため、この活動はフラグが立てられるべきです。powershell # 1. 悪意あるペイロードをドロップ(テストのための無害なテキストファイルでシミュレート) $payloadPath = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" New-Item -ItemType Directory -Path (Split-Path $payloadPath) -Force | Out-Null Set-Content -Path $payloadPath -Value "これはテスト用のダミー悪意ある実行可能ファイルです。" -Encoding ASCII # 2. SecurityHealthとして見せかける悪意あるRunキーを作成 $runKey = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' New-ItemProperty -Path $runKey -Name 'SecurityHealth' -Value $payloadPath -PropertyType String -Force -
回帰テストスクリプト:
powershell # ------------------------------------------------- # 回帰テスト – レジストリエ永続性擬装 # ------------------------------------------------- # 目的:Sigmaルールが期待する正確なテレメトリーを再現します。 # Windows 10/11で管理者権限で動作します。 # ペイロードの場所を定義 $payload = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" # ディレクトリが存在することを確認 if (-not (Test-Path (Split-Path $payload))) { New-Item -ItemType Directory -Path (Split-Path $payload) -Force | Out-Null } # ダミーの実行可能ファイルを作成(実際のテストでは悪意あるバイナリであることを前提) Set-Content -Path $payload -Value "MALICIOUS_BINARY_PLACEHOLDER" -Encoding ASCII # 擬装された名前でRunキーを登録 $runKeyPath = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' New-ItemProperty -Path $runKeyPath -Name 'SecurityHealth' -Value $payload -PropertyType String -Force Write-Host "悪意あるRunキーが作成されました。間もなく検出アラートが期待されます。" # ------------------------------------------------- -
クリーンアップコマンド:
powershell # 悪意あるRunキーを削除 Remove-ItemProperty -Path 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' -Name 'SecurityHealth' -ErrorAction SilentlyContinue # ダミーペイロードファイルとそのフォルダを削除 $payloadDir = Split-Path "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue Write-Host "クリーンアップ完了。"