セキュリティ専門家が過去数十年にわたって、あるいはそれ以上にわたって出し続けてきたアドバイスの XNUMX つは、ソフトウェアは信頼できるサイトからのみダウンロードするべきだというものです。 コンピュータセキュリティに関するアドバイスに関する限り、これはかなり簡単に実践できるように思えます。

しかし、そのようなアドバイスが広く共有されている場合でも、明らかに評判の悪い場所からファイルをダウンロードし、その結果セキュリティ侵害を受ける人が依然としています。 私は数十年以上にわたり Neowin の読者であり、ほぼ同じ期間、そのフォーラムのメンバーでした。 しかし、私がオンラインで参加しているのはそこだけではありません。XNUMX 年あまりの間、私は一般的なコンピューティング サポートと、マルウェアの削除に関するより具体的なアドバイスの両方を提供する Reddit のいくつかのフォーラム (サブレディット) の管理にボランティアとして時間を費やしてきました。 これらのサブレディットでは、侵害されたコンピューターの影響から回復しようとする人々を何度も助けてきました。 最近の攻撃は通常、金銭的な目的で行われますが、その他の予期せぬ結果も発生します。 これは Reddit ユーザーに特有のものではないことを断っておきます。 この種の質問は、さまざまな Discord サーバーのオンライン チャットでも発生し、私も時間を割いて参加しています。

XNUMX つ指摘しておきたいのは、Discord と Reddit の両サービスは、Twitter や Facebook などのソーシャル メディア サイトよりも若い層を対象としているということです。 また、彼らは平均的な WeLiveSecurity 読者よりも若いのではないかと思います。 これらの人々はデジタル リテラシーが高く、就学前から安全なコンピューティングの実践に関するアドバイスやディスカッションにアクセスしてきました。

コミュニケーションの断絶

コンピュータとそれを保護するための情報を持って育ったという利点があるにもかかわらず、これらの人々はなぜ特定のパターンの攻撃の犠牲になったのでしょうか? そして、情報セキュリティ担当者の側から見ると、私たちが人々にやるよう指示していること (または、場合によってはやらないこと) と、彼らがやっていること (または、またしてもやらないこと) の間に、一体どこに乖離が生じているのでしょうか?

場合によっては、ソフトウェアの提供元が信頼できないとわかっていたのにそれを信頼してしまうという、よく知っていたのに「愚かなこと」をしてしまった、と公然と認める人もいます。 ただし、信頼できるように見えても、そうでない場合もありました。 また、本質的に信頼できないものであっても、マルウェアの送信元を信頼できるものとして明確に指定したこともありました。 コンピューターの侵害につながる最も一般的なシナリオを見てみましょう。

• 彼らは、オンラインの友人「から」Discord 経由で、その友人が作成しているゲームについてのフィードバックを求めるプライベート メッセージを受け取りました。 オンラインの友人が作成していた「ゲーム」はパスワードで保護された .ZIP ファイルに入っており、実行する前にダウンロードしてパスワードを使用して解凍する必要がありました。 残念ながら、その友人のアカウントは以前に侵害されており、攻撃者はそのアカウントを悪意のあるソフトウェアの拡散に使用していました。
• 彼らは Google を使って、 サーチ 商用ソフトウェア パッケージを使用したいと考えていましたが、無料またはクラック版を探していると指定し、検索結果の Web サイトからダウンロードしました。 必ずしも商用ソフトウェアであるとは限りません。 最近では、無料またはオープンソースのプログラムでさえ、悪意のある広告 (マルバタイジング) の標的になっています。 キャンペーン Google 広告を使用する。
• 同様に、彼らは YouTube で商用ソフトウェア パッケージの無料バージョンまたはクラック版をダウンロードする方法に関するビデオを検索し、ビデオ内で言及されているかコメントに記載されている Web サイトにアクセスしてダウンロードしました。
• 彼らは、海賊版ソフトウェアを専門とする有名なサイトからソフトウェアをトレントしました。
• 彼らは、XNUMX 年以上活動していたプライベート トラッカー、テレグラム チャネル、または Discord サーバーからソフトウェアをトレントしました。

人々がだまされてマルウェアを実行させる手段はこれらだけではないことを指摘しておきます。 WeLiveSecurity は最近、ユーザーを欺いたいくつかの注目すべき事件を報告しました。

• ある注目すべき事例では、 クリプトチブルチェコとスロバキアのユーザーを標的とした暗号通貨に焦点を当てたマルウェアは、海賊版ゲームや海賊版ゲームを装った人気のローカル ファイル共有サービスを通じて拡散されました。 ダウンロード可能なコンテンツ XNUMX つ目の無関係なケースでは、東南アジアと東アジアの中国語話者が、Firefox Web ブラウザや人気のメッセージング アプリ Telegram や WhatsApp などの人気アプリケーションの毒された Google 検索結果の標的となり、トロイの木馬化されたアプリをインストールされました。を含むバージョン FatalRAT リモートアクセス型トロイの木馬。

これらのシナリオの中に、何らかの点で似ているものはありますか? ファイルを受信するさまざまな手段 (検索エンジン、ビデオ サイト、著作権侵害サイトの使用など) にもかかわらず、それらはすべて信頼を悪用したという XNUMX つの共通点があります。

安全な(r)ダウンロード

セキュリティ専門家がファイルのダウンロードについて話すとき の 評判の良いウェブサイトから見ると、私たちはそれらについて一般の人々に啓蒙するという仕事の半分しか行っていないことが多いように思われます。 何 そもそも、サイトを安全にダウンロードできる理由を説明せずに、アクセスすべきサイトの種類 (当然、評判の良いサイト) を説明します。 というわけで、大騒ぎせずに、以下のとおりです。 MAKES ソフトウェアをダウンロードできると評判のサイト:

• ソフトウェアは、著者または発行者のサイト、またはそれらによって明示的に許可されたサイトから直接ダウンロードする必要があります。

以上です！ 今日のソフトウェアの世界では、発行者のサイトはこれまでよりももう少し柔軟になる可能性があります。 はい、発行者のサイトと同じドメイン名のサイトである可能性もありますが、ファイルが GitHub、SourceForge 上に配置されている、サードパーティが運営するコンテンツ配信ネットワーク (CDN) 上でホストされているなどの可能性もあります。 。 それは、発行者によって明示的にアップロードされたものであるため、依然として発行者のサイトです。 場合によっては、発行者が追加のダウンロード サイトへの追加リンクを提供することもあります。 これは、ホスティング コストを賄うため、さまざまな地域でより高速なダウンロードを提供するため、世界の他の地域でソフトウェアを宣伝するためなど、さまざまな理由で行われます。 これらもまた、 公式 ダウンロード サイトは、著者または出版社によって特別に許可されているためです。

ソフトウェア リポジトリとして機能するサイトやサービスもあります。 SourceForge と GitHub は、オープンソース プロジェクトをホスティングする人気のサイトです。 シェアウェアや商用ソフトウェアの試用版については、最新バージョンのダウンロードを専門にリストするサイトが多数あります。 これらのダウンロード サイトは、ソフトウェアを XNUMX か所で見つけるためのキュレーターとして機能するため、新しいソフトウェアの検索と発見が容易になります。 ただし、場合によっては、暗い側面もあります。これらのサイトの一部では、 ソフトウェアラッパー そこからダウンロードされたファイルの周りには、探していたプログラム以外の追加のソフトウェアのインストールを促す可能性があります。 これらのプログラム バンドラーは、添付されているソフトウェアとはまったく関係のないことを実行し、実際にインストールする可能性があります。 潜在的に不要なアプリケーション (PUA) をコンピュータにインストールします。

他に注意すべきサイトの種類としては、Box、Dropbox、WeTransfer などのファイル ロッカー サービスがあります。 これらはすべて非常に正当なファイル共有サービスですが、脅威アクターによって悪用される可能性があります。サービスが信頼されているため、そこからダウンロードされるプログラムは安全であると人々は思い込んでいる可能性があります。 逆に、データの流出をチェックする IT 部門は、個人情報や資格情報を含むファイルのアップロードを、それらが正規のサービスであることがわかっているため、無視する可能性があります。

検索エンジンに関しては、初心者や単にせっかちな人にとって、結果を解釈するのは難しい場合があります。 Bing、DuckDuckGo、Google、Yahoo などの検索エンジンの目標は、最良かつ最も正確な結果を提供することですが、多くの場合、検索エンジンの中核ビジネスは広告を中心に展開しています。 これは、検索エンジンの結果でページの上部に表示される結果は、最良かつ最も正確な結果ではなく、有料広告であることが多いことを意味します。 多くの人は広告と検索エンジンの結果の違いに気づかず、犯罪者は広告スペースを購入してフィッシングやその他の望ましくない活動に使用される Web サイトやマルウェアに人々をリダイレクトするマルバタイジング キャンペーンを通じてこれを利用します。 場合によっては、犯罪者が次の方法を使用してドメイン名を登録する可能性があります。 しゃがんだ または似たような見た目の トップレベルドメイン たとえば、example.com とexamp1e.com のように、Web サイトのアドレスを一見目立たなくするためにソフトウェア発行者のアドレスに変更します (1 番目のドメインでは、文字「l」が数字の「XNUMX」によってどのように解放されているかに注目してください)。 。

インターネット上には、ソフトウェアの無料版や試用版をダウンロードできる合法的で安全な場所がたくさんあることを指摘しておきます。これらの場所は、発行元自身のダウンロードにリンクしているからです。 この例としては、この記事のオリジナル版が書かれた Neowin が挙げられます。 ネオウィンの ソフトウェア ダウンロード セクションは、いかなる種類の不誠実な行為にも関与しません。 すべてのダウンロード リンクは発行者自身のファイルまたは Web ページに直接移動するため、Neowin は新しいソフトウェアを見つけるための信頼できる情報源になります。 ソフトウェア発行元のダウンロードに直接リンクしているもう XNUMX つの評判の良いサイトは、MajorGeeks です。同社は XNUMX 年以上にわたり、ほぼ毎日、ソフトウェア発行元のリストを掲載しています。

直接ダウンロードすると、そのソフトウェアを作成した企業 (または個人) からソフトウェアを確実に入手できますが、それは必ずしもマルウェアが含まれていないことを意味するわけではありません。ソフトウェア パッケージに悪意のあるソフトウェアが含まれていた例もあります。 無意識のうちに or さもないと。 同様に、ソフトウェア発行元が望ましくない可能性のあるアプリケーションやアドウェアをソフトウェアにバンドルしている場合でも、サイトから直接ダウンロードすることでそれらを受け取ることになります。

Apple App Store、Google Play ストア、Microsoft の Windows App ストアなど、オペレーティング システム ベンダーが運営するさまざまなアプリケーション ソフトウェア ストアには特別な考慮が必要です。 これらのサイトは評判の良いダウンロード サイトであると考える人もいるかもしれません。ほとんどの場合、その通りですが、100% の保証はありません。悪徳ソフトウェア作成者がアプリ ストアの審査プロセスを回避して、スパイウェアやディスプレイで人々のプライバシーを侵害するソフトウェアを配布しています。アドウェアを使用したひどい広告、その他の望ましくない行為に関与します。 これらのアプリ ストアには、そのようなソフトウェアをストアからリストから削除したり、影響を受けたデバイスからリモートでアンインストールしたりする機能があり、これにより何らかの救済策が提供されます。 ただし、ソフトウェアが利用可能になってから数日または数週間 (またはそれ以上) かかる場合があります。 公式ストアからアプリのみをダウンロードする場合でも、デバイスを保護するセキュリティ ソフトウェアをデバイスにインストールすることは必須です。

デバイスのメーカー、小売業者、サービス プロバイダーは、独自のアプリ ストアをデバイスに追加する場合があります。 ただし、これらにはアプリをリモートでアンインストールする機能がない場合があります。

関与するマルウェアについて

これらすべてを念頭に置くと、影響を受けたコンピューター上でマルウェアが正確に何をしたのか疑問に思われるでしょう。 関与するマルウェア ファミリにはさまざまなものがあり、それぞれが独自の一連の動作や動作を持っていましたが、基本的に目立ったマルウェア ファミリが XNUMX つありました。それらは常習犯であり、多くの支援要請が発生していました。

• STOP/DJVU、ESETによって次のように検出されました Win32/Filecoder.STOPは、学生を主にターゲットにしていると思われるランサムウェア ファミリです。 影響を受けたすべての学生が同じように標的にされたわけではありませんが、数人の学生は、大学在学中に学校や個人のプロジェクトを目的とした商用 VST プラグインを不正コピーした後にランサムウェアが出現したと報告しました。 これは、プラグインが長年のユーザーによって共有されている「評判の高い」トレントからダウンロードされており、その特定のマグネット リンクに数十、場合によっては数百のシーダーがあるにもかかわらずです。

• ソフトウェアの著作権侵害が発生した直後、学生たちはデスクトップ上でごく標準的なランサムウェアのメモを発見しました。 恐喝メモで異例だったのは、犯罪者らは数万ドル、数十万ドルの支払いを要求するのではなく、はるかに低い額、つまり約1,000～1,200米ドル（仮想通貨で）を要求していたことだ。 しかし、それだけではありません。通知から最初の 24 ～ 72 時間以内に料金を支払った被害者は、50% の割引を受けることができました。 恐喝されている金額は、企業をターゲットにした犯罪者が要求する金額に比べて非常に低いように見えますが、金額が低いということは、特にこのような高圧的な戦術に直面した場合、被害者が支払う可能性が高くなる可能性があります。STOP/DJVU ランサムウェアが感染している可能性があります。これは、開発者が支払いと利益の分け前と引き換えに、ランサムウェアを他の犯罪者にリースすることを意味します。 他の犯罪者も同様にこのツールを使用している可能性がありますが、少なくとも XNUMX つのグループが学生をターゲットにするという最適な場所を見つけたようです。

念のために言っておきますが、STOP/DJVU 犯罪者に身代金を支払った後、ファイルの復号化に成功したという話は聞いたことがありません。 ファイルを復号化する最善の策は、復号化ツールがリリースされた場合に備えてファイルをバックアップすることです。

• Redline Stealer は、名前が示すとおり、カスタマイズ可能な情報窃取型トロイの木馬のファミリーであり、ESET によって次のように検出されます。 MSIL/Spy.RedLine & MSIL/スパイエージェント。 STOP/DJVU ランサムウェアと同様、Criminal software as a Service ツール ファミリの一部としてリースされているようです。 Discord を通じて拡散したという報告を複数見てきましたが、サービスとして「販売」されているため、おそらく多くの犯罪組織がさまざまな目的でさまざまな方法で配布していると思われます。 これらの場合、被害者は、侵害された友人のアカウントから、パスワードで保護された .ZIP ファイルで配布されたソフトウェアを実行するよう求めるダイレクト メッセージを受け取りました。 犯罪者らは被害者に対し、ウイルス対策ソフトウェアが何かを検出した場合、それは誤検知であり、無視するようさえ伝えた。

Redline Stealer の機能に関しては、PC で実行されている Windows のバージョン、ユーザー名、タイム ゾーンに関する情報の収集など、情報を盗むマルウェアにとって非常に一般的なアクティビティがいくつか実行されます。 また、ディスプレイ サイズ、プロセッサー、RAM、ビデオ カード、コンピューター上のプログラムとプロセスのリストなど、実行環境に関する情報も収集します。 これは、マルウェアがエミュレータ、仮想マシン、またはサンドボックスで実行されているかどうかを判断するのに役立つ可能性があり、マルウェアが監視またはリバース エンジニアリングされているという警告サインである可能性があります。 また、同種の他のプログラムと同様に、PC 上のファイルを検索してリモート サーバーにアップロードしたり (秘密鍵や暗号通貨ウォレットを盗むのに役立ちます)、ファイルをダウンロードして実行したりすることができます。

しかし、情報スティーラーの主な機能は情報を盗むことなので、レッドライン スティーラーは一体何を狙っているのでしょうか? Discord、FileZilla、Steam、Telegram、OpenVPN や ProtonVPN などのさまざまな VPN クライアントを含む多くのプログラムから資格情報を盗み、Google Chrome、Mozilla Firefox、およびその派生製品などの Web ブラウザから Cookie と資格情報を盗みます。 最近の Web ブラウザはアカウントとパスワードだけでなくクレジット カード情報も保存するため、これは重大な脅威となる可能性があります。

このマルウェアはさまざまな犯罪組織によって使用されているため、それぞれがわずかに異なることに焦点を当てている可能性があります。 ただし、このような場合、ターゲットとなるのは Discord、Google、Steam アカウントであることがほとんどです。 侵害された Discord アカウントは、マルウェアを友人に広めるために使用されました。 この Google アカウントは YouTube にアクセスして特定の動画の再生回数を水増ししたり、さまざまな詐欺行為を宣伝する動画をアップロードしたりするために使用されていたため、アカウントが禁止されました。 Steam アカウントには、攻撃者によって盗まれ、使用または転売される可能性のあるゲーム内通貨やアイテムが含まれているゲームがないかチェックされました。 侵害されたアカウントで実行できるすべてのことを考えると、これらは奇妙な選択のように思えるかもしれませんが、ティーンエイジャーにとって、これらは彼らが所有する最も貴重なオンライン資産である可能性があります。

要約すると、他の犯罪者が使用するサービスとして販売されている XNUMX つの異なるタイプのマルウェアがあります。 これらの事例では、犯罪者は XNUMX 代から XNUMX 代前半の被害者をターゲットにしているようです。 あるケースでは、被害者が持っている資金に比例した金額を脅し取った。 もう XNUMX つは、Discord、YouTube (Google)、オンライン ゲーム (Steam) をターゲットにする場合です。 被害状況を考慮すると、これらの犯罪組織が同様の年齢層の人々で構成されているのか、そうであれば、仲間に対して非常に効果的であるとわかっている特定の標的化および誘惑方法を選択したのか疑問に思う必要があります。

我々はここからどこに行くのですか？

セキュリティ専門家は、コンピュータのオペレーティング システムとアプリケーションを最新の状態に保ち、最新バージョンのみを使用し、確立されたベンダーのセキュリティ ソフトウェアを実行するよう人々にアドバイスしています。 そして、ほとんどの場合、人々はそうすることで、さまざまな脅威から身を守っています。

しかし、ダウンロード先として大ざっぱなソースを探し始めると、状況が悪くなる可能性があります。 セキュリティ ソフトウェアは人間の行動を説明しようとしますが、評判や信頼などの概念を悪用する犯罪者も同様です。 Discord 上の親しい友人がプログラムを見るように頼み、ウイルス対策ソフトウェアがそれを脅威として誤って検出する可能性があると警告したとき、セキュリティ ソフトウェアと友人のどちらを信じますか? 本質的にソーシャル エンジニアリングの一種である信頼に対する攻撃にプログラム的に対応し、防御することは困難な場合があります。 ここで説明するタイプのシナリオでは、最終的な防御策となるのはコンピューター コードではなくユーザー教育ですが、それはセキュリティ担当者が適切なメッセージを伝えた場合に限ります。

著者は、この記事の作成に協力してくれた同僚の Bruce P. Burrell、Alexandre Côté Cyr、Nick FitzGerald、Tomáš Foltýn、Lukaš Štefanko、Righard Zwienenberg に感謝します。また、この記事のオリジナル版を出版してくれた Neowin に感謝します。

アリエ・ゴレツキー
ESET 特別研究員

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• 未来を鋳造する w エイドリエン・アシュリー。 こちらからアクセスしてください。
• PREIPO® を使用して PRE-IPO 企業の株式を売買します。 こちらからアクセスしてください。
• 情報源： https://www.welivesecurity.com/2023/05/16/you-may-not-care-where-download-software-malware-does/