TokyoBlackHatNews

malwarebytes.com 5分で読了

偽のWinRARダウンロードは、本物のインストーラーの裏にマルウェアを隠す

当社のウェブ調査チームのメンバーが、さまざまな中国のウェブサイトからリンクされていた偽のWinRARインストーラーを教えてくれました。こうしたリンクが出回り始めるのは、たいてい新しいキャンペーンの良い兆候です。

そこでファイルをダウンロードして解析を始めたところ、まるでマトリョーシカ人形のようなものでした。層の上に層、さらにその上に層。

WinRARは人気のユーティリティで、「非公式」サイトからダウンロードされることも多く、偽ダウンロードを提供するキャンペーンが効果を発揮しやすくなっています。

多くの場合、これらのペイロードには自己解凍型や多段階のコンポーネントが含まれており、初期のシステム分析に応じて、追加のマルウェアをダウンロードしたり、永続化を確立したり、データを流出させたり、バックドアを開いたりします。そのため、このマルウェアが最初に行った動作の一つが、Windowsプロファイル情報という形で機密性の高いWindowsデータにアクセスすることだったのは驚きではありません。

これは、解析で得られた他の所見(下記参照)と合わせると、このファイルが、さらなる侵害や感染を行う前に、影響を受けたシステムに最も適した(「ベストフィット」な)マルウェアを選択していることを示しています。

安全を保つ方法

問題を解決するためのソフトウェアを探しているとき、特に早く解決したい場合には、ミスは起こりやすいものです。いくつかの簡単なヒントが、このような状況で安全を保つのに役立ちます。

  • ソフトウェアは公式かつ信頼できる提供元からのみダウンロードしてください。SNS、メール、または見慣れない他のウェブサイトで、そのソフトウェアを提供すると約束するリンクをクリックするのは避けましょう。
  • 脅威が実行される前にブロックするため、リアルタイムで最新のマルウェア対策ソリューションを使用してください。

解析

元のファイル名はwinrar-x64-713scp.zipで、Detect It Easy(DIE)による初期解析の時点で、すでに複数の層があることが示唆されていました。

Image
Detect It Easyの最初の解析:7-Zip、UPX、SFX — 他にもある?

ファイルを解凍するとwinrar-x64-713scp.exeが生成されましたが、これはUPXでパックされたファイルで、意図的なPEの異常のため、アンパックには--forceオプションが必要でした。UPXは通常、実行ファイルのヘッダーフィールドに予期しない値や不明なデータが見つかると圧縮を中止します。そうしたデータはプログラムが正しく動作するために必要な場合があるからです。--forceオプションは、これらの異常を無視して、それでも展開を続行するようUPXに指示します。

アンパック後のファイルを見ると、DIEはさらに別の層を示しました:(Heur)Packer: Compressed or packed data[SFX]。ファイル内の文字列を確認したところ、RunProgramのインスタンスが2つあることに気づきました:

RunProgram="nowait:\"1winrar-x64-713scp1.exe\" "

RunProgram="nowait:\"youhua163

これらのコマンドは、SFXアーカイブに対し、展開直後に埋め込まれたプログラムを、完了を待たずに(nowait)実行するよう指示します。

PeaZipを使って、埋め込まれていた2つのファイルを抽出しました。

Image

中国語の文字「安装」が文字列解析を複雑にしましたが、これは「インストール」を意味し、さらに興味をそそられました。ファイル1winrar-x64-713scp1.exeは実際のWinRARインストーラーであることが判明し、マルウェアを実行する人の疑念を和らげるために含められていた可能性が高いです。

さらに別の層を取り除くと、もう一方のファイルはsetup.htaという名前のパスワード保護されたzipファイルであることが分かりました。ここで使われていた難読化により、動的解析に切り替えました。仮想マシン上でファイルを実行すると、setup.htaは実行時に直接メモリ上へ展開されることが確認できました。メモリダンプから、別の興味深い文字列が見つかりました:nimasila360.exe

これは、偽インストーラーによって作成されることが多い既知のファイルで、Winzipperマルウェアと関連付けられています。Winzipperは、中国語圏で知られる悪意のあるプログラムで、無害なファイルアーカイブを装って被害者のコンピューターに侵入します。多くの場合、リンクや添付ファイルを通じて入り込みます。いったん開かれてインストールされると、被害者が正規ソフトをインストールしただけだと思い込んでいる間に、攻撃者が遠隔でマシンを制御し、データを盗み、追加のマルウェアをインストールできるようにする隠しバックドアを密かに展開します。

侵害の指標(IOCs)

ドメイン:

winrar-tw[.]com

winrar-x64[.]com

winrar-zip[.]com

ファイル名:

winrar-x64-713scp.zip

youhua163安装.exe

setup.hta(C:\Users\{username}\AppData\Local\Tempにドロップ)

Malwarebytesのウェブ保護コンポーネントは、悪意のあるファイルとインストーラーをホストしているすべてのドメインをブロックします。

Image
Malwarebytesがwinrar-tw[.]comをブロック

翻訳元: https://www.malwarebytes.com/blog/threat-intel/2026/01/fake-winrar-downloads-hide-malware-behind-a-real-installer

ソース: malwarebytes.com
#setup.hta(HTAマルウェア) #SFX自己解凍アーカイブ #UPXパッカー #Winzipperバックドア #サプライチェーン型なりすまし #マルウェア配布キャンペーン #中国語圏サイト #侵害指標(IOC) #偽WinRARインストーラー #多段階ドロッパー

関連記事

巧妙な著作権侵害通知でGoogleログイン情報を狙うフィッシング詐欺

23andMe、数百万人の遺伝情報を流出か——訴訟で明らかに

偽のウイルス警告がモバイルゲームに蔓延