偽のMicrosoftサポートウェブサイトが、通常のWindowsアップデートに見えるものをダウンロードするようにユーザーをだましています。代わりに、パスワード、支払い情報、およびアカウントアクセスを盗むように設計されたマルウェアをインストールします。ファイルが合法的に見え、検出を回避するため、ユーザーとセキュリティツールの両方を通過できます。
非常に説得力のあるWindowsアップデート
キャンペーンはmicrosoft-update[.]supportで検出されました。これは、公式のMicrosoftサポートページに見えるように装飾されたタイポスクワッティングドメインです。サイトはフランス語で完全に書かれており(ただしこれらのキャンペーンは急速に広がる傾向があります)、Windows バージョン24H2の偽の累積アップデートを提示しており、もっともらしいKB記事番号が付いています。大きな青いダウンロードボタンがユーザーにアップデートをインストールするよう促します。
ダウンロードされるのはWindowsUpdate 1.0.0.msiで、83 MBのWindowsインストーラーパッケージです。一見すると、すべてが合法的に見えます。そのファイルプロパティは慎重に偽造されています:作成者フィールドは「Microsoft」と記載され、タイトルは「インストールデータベース」と記載され、コメントフィールドは「WindowsUpdateをインストールするために必要なロジックとデータが含まれている」と主張しています。
パッケージはWiX Toolset 4.0.0.5512(合法的なオープンソースインストーラーフレームワーク)で構築され、2026年4月4日に作成されました。
このキャンペーンがフランスをターゲットにしている理由
フランス語を話すユーザーをターゲットにするという選択はランダムではありません。フランスはここ2年間、歴史的なデータ漏洩の連鎖に見舞われており、膨大な個人情報が犯罪マーケットプレイスで流通しています。漏洩は生のデータを提供し、このようなキャンペーンはそれを非常に説得力のある詐欺に変えます。
2024年10月、フランスの第2位のインターネットサービスプロバイダーであるFreeは、攻撃者が約1900万の加入者契約の個人データにアクセスしたことを確認しました。銀行口座の詳細を含みます。数週間前、Société Française du Radiotéléphone(SFR)は、顧客名、住所、電話番号、および銀行情報を露出した自社の漏洩を開示しました。
2024年初め、国の公開雇用サービスであるFrance Travailは、20年間にわたる現在および過去の求職者の4300万人の記録を危険にさらすという侵入を受けました。研究者はまた、少なくとも17の別々のフランスの漏洩から9000万のレコードを単一のデータベースに集約する保護されていないElasticsearchサーバーを発見しました。
このトレントの漏洩データはフランスを認証情報盗難の魅力的なターゲットにしました。KELA’s 2025 infostealerの研究は、ブラジル、インド、米国、スペイン、イギリス、インドネシアと並んで、フランスを被害者の最上位国として特定しました。
攻撃者が前回の漏洩から被害者の名前、住所、ISPを既に持っている場合、フランス語の「Windowsアップデート」ページは、汎用の英語のページよりもはるかに説得力のある誘いになります。
外側はElectron、内側はPython
MSIが実行されると、Electron アプリケーション(本質的にはカスタムJavaScriptとバンドルされた機能を削減されたChromiumブラウザ)をC:\Users\<USER>\AppData\Local\Programs\WindowsUpdate\にインストールします。
メインバイナリのWindowsUpdate.exeは、標準的なElectronシェルの名前を変更されたコピーです。VirusTotalのメタデータはそれをelectron.exeとして識別しています。69のアンチウイルスエンジン全体で、実行可能ファイル自体がクリーンであるため、ゼロの検出が得られました。これは、悪意のあるロジックがElectronアプリのバンドルされたJavaScript(通常app.asarとしてパッケージ化される)内に存在することを示唆しています。
Electronシェルの横には、初期ランチャーとして機能するVisual Basic ScriptであるAppLauncher.vbsがあります。システムの組み込みのcscript.exeインタープリターはVBSを実行し、その後Electronアプリを開始します。これは、ペイロードを直接起動することを回避し、実行チェーンをプロセスログでルーチンに見えるようにする古典的な生きている地から外れた技術です。
しかし、Electronラッパーは外層にすぎません。実行されると、WindowsUpdate.exeは_winhost.exeを生成します。これは、合法的なWindowsプロセスに似ているように偽装された名前を変更されたPython 3.10インタープリターです。このプロセスは、python.exeおよびサポートライブラリを含む完全なPythonランタイムをC:\Users<USER>\AppData\Local\Temp\WinGet\toolsに解凍します。
その後、データ盗難ツールでよく見られるPythonパッケージのセットをインストールします:
- pycryptodome、盗まれたデータを暗号化するために使用される
- psutil、実行中のプロセスを検査し、サンドボックス環境を検出するために使用される
- pywin32、Windows APIへのディープアクセスを可能にする
- PythonForWindows、プロセスと権限などのシステム内部と相互作用するために使用される
ElectronアプリのJavaScriptの分析はこれを確認しています。制御フロー平坦化と不透明な述語などの技術を使用して処理された2つの重く難読化されたファイルには、コア機能が含まれています。
より大きなファイル(〜7 MB)はメインのスティーラーペイロードで、pbkdf2、sha256、およびAES復号化ルーチンへの参照、ならびにキャンペーン有効期限チェックが含まれています。より小さいファイル(〜1 MB)はDiscordをターゲットにしています。Discordはelectron上で実行されるため、スクリプトはそのコードを変更してログイントークン、支払い詳細、およびアプリが開かれたときの2要素認証の変更をインターセプトします。
両方のファイルは主要なアンチウイルスエンジン全体でゼロの検出を返しました。これは、合法的なソフトウェアとヘビーに難読化されたコード内に隠れるマルウェアの結果です。
再起動から生き残る2つの方法
マルウェアは2つの独立した永続化メカニズムを設定します。
まず、reg.exeはユーザーのCurrentVersion\Runレジストリキーの下にSecurityHealthという値を書き込み、WindowsUpdate.exeを指します。値の名前はWindows Security Healthに偽装しています。これはDefender通知を担当するサービスです。ほとんどのユーザーとIT職員でさえ疑いなくスクロールして通り過ぎるようなものです。
次に、cscript.exeはSpotify.lnkという名前のショートカットファイルをユーザーのスタートアップフォルダに削除します。それに気付いた人は、Spotifyがログイン時に起動するように構成したと思う可能性があります。
2つの永続化メカニズム、2つの異なる変装、それぞれユーザーが見ることを期待するものに見えるように設計されています。
被害者の指紋採取、家に連絡、盗品のアップロード
起動後数秒以内に、WindowsUpdate.exeはwww.myexternalip.comおよびip-api.comに到達して、被害者の公開IPアドレスとジオロケーションを発見します。この種の偵察は、infostealersのほぼ普遍的な特性であり、オペレーターに被害者がどこにいるかを伝え、どのデータが収集されるかを決定する場合があります。
マルウェアはその後、コマンドアンドコントロール(C2)インフラストラクチャに接触します。Renderでホストされているc2エンドポイントであるdatawebsync-lvmv.onrender[.]comに到達し、Cloudflare Workersで実行されるリレーであるsync-service.system-telemetry.workers[.]devに到達します。その2番目のドメインは特に巧妙です:「system-telemetry」は、ネットワークアナリストが短いログレビュー中に正当な監視トラフィックとして却下する可能性があるサブドメインの種類とまったく同じです。
データ流出のため、マルウェアはstore8.gofile[.]ioに目を向けます。これは匿名アップロードを可能にするファイル共有サービスです。Gofileは無料であり、一時的であり、オペレーターのペーパートレイルを生成しないため、商品盗難犯の間で人気になっています。
朝食前に何百ものプロセスが殺された
サンドボックステレメトリーは、taskkill.exeの200以上の個別の呼び出しをキャプチャし、それぞれが個別のプロセスとして起動されました。特定のターゲットプロセスは圧縮されたテレメトリーに記録されていませんが、膨大な量とパターンは、収集ルーチンを開始する前にセキュリティツール、ブラウザプロセス(認証情報データベースをロック解除するため)、および競合するマルウェアを体系的に終了するinfostealersと一致しています。干渉する可能性のあるすべてのものを殺してから、仕事を始めます。
自動化された防御がそれを通した理由
分析時点で、VirusTotalはメイン実行可能ファイルについて69エンジン全体でゼロ検出を示し、VBSランチャーについては62を示しました。YARAルールは一致せず、動作スコアリングはアクティビティを低リスクとして分類しました。
これは単一のツールの失敗ではありません。それはマルウェアのアーキテクチャの意図した結果です。
Electronシェルは、何百万ものアプリケーションで使用される正当なバイナリです。悪意のあるロジックは難読化されたJavaScript内に隠れており、従来のアンチウイルスツールは深く検査しません。Pythonペイロードは誤解を招くプロセス名の下で実行され、正常なソースのように見えるランタイムからコンポーネントを引き込みます。
個別に、各部分は無害に見えます。VBSランチャーからElectronアプリへの完全なチェーンをたどるだけで、名前を変更されたPythonプロセス、データ収集とデータ流出へのチェーンのみ、アクティビティが明らかに悪意のあるものになります。
分析以来、ユーザーをこの脅威から保護するための検出を追加しました。
これが何を意味し、次に何をするべきか
ローカライズされたフィッシング誘い、合法的に構築されたMSIインストーラー、Electronラッパー、およびランタイム展開されたPythonペイロードの組み合わせは、商品盗難犯がどのように進化しているかを示しています。各レイヤーは目的を果たします。MSIは使い慣れたインストール体験を提供し、Electronシェルはファイルをクリーンに見せるのに役立ち、Pythonランタイムはオペレーティングシステムへの柔軟なアクセスを提供します。チェーン全体は既製の正当なコンポーネントから構築されています。
フランスユーザーのターゲティングは明確なパターンに従います。数千万の個人記録が既に流通している場合、説得力のあるローカライズされた誘いを作成するコストは大幅に低下します。被害者がどのプロバイダーを使用しているかを既に知っている攻撃者は、ISPであるか、この場合Microsoftであるかにかかわらず、予期されるものと一致するようにフィッシングページを調整できます。
最も重要なポイントは、ゼロ検出VirusTotalの結果はファイルが安全であることを意味しないということです。多くの場合、悪意のあるロジックが隠れていることを意味します。たとえば、難読化されたスクリプト内または実行時に配信され、従来の検出方法にフラグを付けるものがほとんど残されていません。
このアップデートをインストールした可能性があると思われる場合は、以下のことを行ってください:
- レジストリキーを確認してください。これを行うには、Windows + Rを押し、
regeditを入力してEnterキーを押します。HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに移動します。AppDataフォルダ内のWindowsUpdate.exeを指すSecurityHealthという名前のエントリを探して削除します。 - スタートアップフォルダで作成しなかった
Spotify.lnkファイルを探して削除します。フォルダC:\Users<USER>\AppData\Local\Programs\WindowsUpdate\を削除する C:\Users<USER>\AppData\Local\Temp\WinGet\tools\内の一時ファイルをクリアする- ブラウザに保存されているすべてのパスワードを変更してください。保存された認証情報、Cookie、およびセッショントークンが危険にさらされている可能性があると想定してください
- 2要素認証を有効にし、メールアカウントと財務アカウントを優先する
- 最新のアンチマルウェアツール(理想的には動作検出を備えたもの)でフルシステムスキャンを実行してください
Windowsを安全に更新する方法
Windowsを更新する最も安全な方法は、組み込みのアップデート機能を使用することです。スタートを開き、[設定] > [Windowsアップデート]に移動して、「更新を確認」をクリックします。これは常にあなたの最初の立ち寄り先であるべきです。
Microsoftは、Microsoft Update Catalog(catalog.update.microsoft.com)を通じてスタンドアロンアップデートパッケージを提供していますが、これは手動でダウンロードされたアップデートの唯一の正当なソースです。ファイルとしてWindowsアップデートを提供する他のWebサイトは、疑わしいものとして扱う必要があります。
MicrosoftサポートまたはWindowsアップデートを模倣するページに注意してください。これらは説得力があるように見えますが、URLが重要です。正当なMicrosoftページはmicrosoft.comで終わるドメインからのみ提供されます。microsoft-update[.]supportのようなドメインはもっともらしく見えるかもしれませんが、Microsoftに接続されていません。
緊急のアップデートをインストールするよう促すメール、テキスト、または通知を受け取った場合は、リンクをクリックしないでください。代わりに、[設定] > [Windowsアップデート]を開いて直接確認してください。
最後に、自動アップデートを有効にすることを検討してください。これにより、アップデートを手動でダウンロードする必要がなくなり、偽のアップデートをインストールするようにだまされるリスクが減少します。
漏洩の指標(IOC)
ファイルハッシュ(SHA-256)
13c97012b0df84e6491c1d8c4c5dc85f35ab110d067c05ea503a75488d63be60(WindowsUpdate.exe)c94de13f548ce39911a1c55a5e0f43cddd681deb5a5a9c4de8a0dfe5b082f650(AppLauncher.vbs)
ドメイン
microsoft-update[.]support(フィッシング誘い)datawebsync-lvmv[.]onrender[.]com(C2)sync-service[.]system-telemetry[.]workers[.]dev(C2リレー)store8[.]gofile[.]io(流出)www[.]myexternalip[.]com(IP偵察)ip-api[.]com(ジオロケーション)
ファイルシステムアーティファクト
C:\Users\<USER>\AppData\Local\Programs\WindowsUpdate\WindowsUpdate.exeC:\Users\<USER>\AppData\Local\Programs\WindowsUpdate\AppLauncher.vbsC:\Users\<USER>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Spotify.lnk
