Windows 9 開発者向けプレビュー版の噂に便乗した脅威を複数確認

トレンドマイクロは、2014年9月に発表を予定している Microsoft Windows 9 開発者向けプレビュー版への期待に便乗した脅威を確認しました。

弊社が確認した脅威の 1つは、検索サイトの検索結果から不正と思われる Webサイトに誘導するものです。「Windows 9」や「free」、「leak」、「download」といったキーワードの組み合わせで検索を行った場合、結果の 1つとして、不正と思われる Webサイトが表示されます。この不審な Webサイトは、未発表の Windows の OS を無料でダウンロードできる Webサイトのように見えます。

図1:Windows 9 の無料ダウンロードを提供するブログ
図1:Windows 9 の無料ダウンロードを提供するブログ

ユーザが「今すぐダウンロード」をクリックすると、ファイル共有サービス「Turbobit.net」上のダウンロードページに誘導されます。無料ダウンロードとして提供されるファイルは、合計 5.11GB となっています。弊社の解析によれば、この 5.11GB のファイルは、 Windows 9 の流出したコピーではなく、さまざまなユーティリティソフトをバンドルして改造した 64ビット版 Windows 7 SP1 のインストーラであることが判明しました。インストール時の初期の言語設定はブラジル・ポルトガル語でした。このファイル自体は不正なものではありませんが、ユーザが期待する Windows 9 でもありません。

図2:ファイル共有サービス「Turbobit.net」のダウンロードページ
図2:ファイル共有サービス「Turbobit.net」のダウンロードページ

この偽の Windows 9 のダウンロードページに誘導されたユーザは、さらに別の Webページに誘導され、動画ファイル管理ソフトをインストールするように促されます。

図3:動画ファイル管理ソフトのインストールを促す表示
図3:動画ファイル管理ソフトのインストールを促す表示

解析の結果、「VideoPerformanceSetup.exe」というファイル名でダウンロードされる、この動画ファイル管理ソフトは、「ADW_BRANTALL.GA」として検出されるアドウェアであることがわかりました。

■Windows 9 への期待に便乗した脅威が増加
弊社では、この Windows 9 への期待に便乗した脅威をさらに 2つ確認しています。そのうちの 1つは、上述の脅威と類似しています。Windows 9 の無料ダウンロードの提供をうたうブログにファイル共有サービスのリンクが張られたものです。上述の脅威と同じような展開になりますが、ダウンロードされるファイルはまったく異なっています。1つは「ADW_INSTALLREX.GA」として検出されるものです。このアドウェアは実行されると、 「ADW_WAJADH」、「ADW_SPROTECT」、「ADW_MULTIPLUG」として検出される 3つのファイルをダウンロードします。

図4:Windows 9 の無料ダウンロードを提供するブログページ
図4:Windows 9 の無料ダウンロードを提供するブログページ

弊社ではまた、Youtube の動画の詳細情報にダウンロードリンクが張られた動画ページも確認しました。詳細情報に張られたリンクをクリックすると、2つのファイルがダウンロードされます。これらのファイルはそれぞれ「Keygen.exe」と「Setup.exe」です。どちらのファイルも、弊社の製品では「ADW_OUTBROWSE.GA」として検出されます。

図5:Windows 9 の無料ダウンロードを提供する Youtube の動画ページ
図5:Windows 9 の無料ダウンロードを提供する Youtube の動画ページ

弊社では上述の事例の他にも、Windows9 の無料ダウンロードの内容を含む不審なブログの存在も確認しています。これらの不審なブログは上述の事例のようなアドウェア頒布を目的としたものではなく、携帯電話の電話番号を詐取するフィッシング詐欺サイトに誘導するものでした。

Windows 9 の開発者向けプレビュー版の発表日に関する噂に便乗した今回のような脅威の増加は、弊社がこれまで主張してきたことを裏付ける結果となりました。つまり、ユーザを罠にかけるために、サイバー犯罪者は話題となっているものをいつも悪用するということです。弊社では、この種のサイバー犯罪が今回と似たような手口でこれまでに何度も行なわれてきているのを確認しています。そのため、Windows 9 に便乗した脅威が、今後さらに増加することは容易に推測できます。今回はプレビュー版のみで、まだ正式版ではありません。この事実により、サイバー犯罪者がユーザの Windows 9 への期待にいかにつけ込もうとしているかがよくわかります。Windows 9 が実際に発売された後は、海賊版やフリー版を装った不正プログラムを多く確認することになると弊社は予想しています。

トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。

協力執筆者:Arabelle Ebora、Anisalam Moner、Christian Potencia および Christopher So

参考記事:

  • Cybercriminals Leverage Rumored Windows 9 Developer Preview Release With Social Engineering
    by Gideon Hernandez (Fraud Analyst)

    •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 国内検出台数トップを独占する「アドウェア」、その活動と被害とは
    2. ネット広告からFlash Playerを偽装するアドウェアへの誘導、日本から1万7千件以上のアクセスを確認
    3. ロシアのアンダーグラウンドで活動するブラジル系サイバー犯罪者を確認。クレジットカード窃取に関与か
    4. Twitterを悪用した事例の研究:Part 2