ハッカーが偽のWindows 10アップデートを使用してサイボーグランサムウェアをインストール

Windowsユーザーの皆さん、注意してください！Windowsアップデートに関するMicrosoftからの偽のメールが、デバイスをランサムウェアで感染させるために使用されています。

TrustwaveのSpiderLabsのセキュリティ研究者たちは、この悪意のあるメールキャンペーンを発見し、偽のメールが人々にコンピュータにWindows 10の「重要なアップデート」をインストールさせるように仕向けていることを明らかにしました。

メールの件名は「最新のMicrosoftアップデートを今すぐインストール！」または「重要なMicrosoft Windowsアップデート！」と書かれています。メールのメッセージには「このメールに添付された最新の重要なアップデートをMicrosoftからインストールしてください」という一行だけが含まれており、添付ファイルがあります。

興味深いことに、添付された「アップデート」ファイルは.jpgファイルとして偽装されており、実際には画像ではなく、実行可能な.NETダウンローダーです。これにより、Microsoftが所有するGitHubにホストされた2つ目の実行可能ファイルがダウンロードされました。

「ファイルbitcoingenerator.exeは、調査中に数日間活動していたGitHubアカウントmisterbtc2020からダウンロードされますが、現在は削除されています」とTrustwaveのダイアナ・ロペラはブログ投稿で述べました。

「これはそのbtcgeneratorリポジトリに含まれています。添付ファイルと同様に、これは.NETでコンパイルされたマルウェア、サイボーグランサムウェアです。」

典型的なビットコインを要求するサイボーグランサムウェアは、被害者のマシン上のすべてのファイルを暗号化し、その内容をロックし、すべてのファイルの名前を.777拡張子に変更します。さらに、「Cyborg_DECRYPT.txt」というタイトルの身代金ノートが被害者のデスクトップに置かれ、システムファイルを解除するために500米ドルのビットコインを要求します。

研究者たちがランサムウェアの元のファイル名を検索したところ、VirusTotalでそれを取得し、調査しました。彼らは他の3つのサンプルを見つけ、ランサムウェアのビルダーがオンラインに存在することを発見しました。さらに、サイボーグランサムウェアは、GitHubにホストされたビルダーへのリンクを含むYouTube動画を通じて宣伝されていることがわかりました。

「GitHubアカウントCyborg-Ransomwareも新たに作成されました。これには、Cyborg-Builder-RansomwareとCyborg-Russian-versionの2つのリポジトリが含まれています」とロペラは書いています。

「最初のリポジトリにはランサムウェアビルダーのバイナリが含まれており、2つ目には別のウェブサイトにホストされたビルダーのロシア語版へのリンクが含まれています。」

ロペラは、サイボーグランサムウェアが企業や個人にとって本当の危険である理由を説明し、「サイボーグランサムウェアは、ビルダーを手に入れた誰でも作成して広めることができます。これは他のテーマを使用してスパムされ、異なる形式で添付されてメールゲートウェイを回避することができます。攻撃者は、このランサムウェアを知られているランサムウェアのファイル拡張子を使用して、感染したユーザーをこのランサムウェアの正体から誤解させるように作成することができます。」と述べました。

関連するGitHubアカウントはその後削除されましたが、WindowsユーザーはMicrosoftがメールを通じてオペレーティングシステムにパッチを配信することは決してないことを覚えておくことが重要です。

さらに、同様のメールを受け取ったユーザーは、すぐにそれを削除することが推奨されます。また、未知または信頼できないソースからのメールの添付ファイルやリンクを開かないことが望ましいです。