アドウェアは、ユーザーの同意なし、または無料ソフトのインストールに紛れて自動的に広告を表示し、収益を得るソフトウェアです。
何かの目的のソフトウェアをインストールする際にうっかりしていると追加でインストールしてしまったりすることがあるものです。
インストールしてしまうと、ブラウザのポップアップがでるようになってしまったり、ツールバーの強制追加が実行されてしまうなどの動作が重くなる原因となることがあります。
これらは通常の利用者が望まないものですが、あって邪魔になることはあっても危険とまではいかないものと認識されています。
アドウェアとされるソフトウェアは多く存在します。
そのひとつについて、そのアドウェアを悪用して直接的な悪事を働く活動が発生していることが観測されています。
内容を見てみましょう。
- Advanced Installerを悪用する
入口となるのはAdvanced Installerです。
Advanced Installerは、市販されているWindowsアプリケーション用の高機能なインストーラ作成(オーサリング)ツールです。
GUI操作でMSI、EXE、MSIX形式のインストールパッケージを迅速かつ安全に設計・構築でき、直感的なインターフェイスで開発者やシステム管理者が複雑な設定を簡単に行えます。
このツールの更新機能を使って、悪意あるファイルを侵害先に持ち込みます。 - こっそり開始する
攻撃者がAdvanced Installerで作成した悪意ある更新ファイルが適用されると、マルウェアの展開が開始されます。
この更新ファイルには、操作を完全にサイレントに実行するフラグと、ユーザの操作を一切必要とせずに動作するフラグが設定されています。
このため、動作を開始するとそのまま実行が完了まで進みます。 - こっそり確認する
実行を開始された機構は、環境を確認します。
管理者ステータスの確認、仮想マシンの検出、インターネット接続の検証、そして、Malwarebytes、Kaspersky、McAfee、ESETなどのインストール済みウイルス対策ソフトウェアがあるかを確認します。 - こっそり変更する
検出されたウイルス対策ソフトウェアは、マルウェアの配布するPowerShellスクリプトの機能で勝手に無効化されます。
さらに侵害先のシステムのhostsファイルを変更してセキュリティ製品の配布されているドメイン名を正しく名前解決ができないように変更し、セキュリティ製品が再インストールされたり更新されたりすることを抑制します。 - こっそり設置する
準備が整うと、環境にマルウェアを設置します。
ペイロードはSYSTEM権限でインストールされ、ユーザが自動アップデートを無効にできないように設定され、新しいアップデートがないか頻繁にチェックされる動きを開始します。
便利な機能を持つツールは次々に登場します。
これらはわたしたちに新しい便利を提供してくれます。
しかし場合によってはこれらはわたしたちに臨まないものも届けてきてしまう場合があります。
この悪意ある活動の例は、まだスパイウェアの領域にあるかもしれません。
しかし同じ戦略は、容易にもっと重大度の大きな悪意ある活動へ発展してしまうことも想像できるものとなっています。
日々注意が必要です。
When PUPs Grow Fangs: Dragon Boss Solutions Left an Open Door on 25,000+ Endpoints
https://www.huntress.com/blog/pups-grow-fangs
| この記事をシェア |
|
|---|
