Notionをインストールしたらマルウェアに感染？ 偽のインストーラーに要注意：セキュリティニュースアラート

AhnLabは、NotionのWebサイトを模倣した偽の配布サイトからNotionのインストーラーに偽装したマルウェアが配布されていると注意を促した。同様の事例はSlackなどのアプリケーションでも確認されているという。

[後藤大地，有限会社オングス]

　韓国のセキュリティ企業AhnLabは2024年3月11日（現地時間）、コラボレーションツール「Notion」のインストーラーに偽装したマルウェアが配布されていると注意喚起した。

Notionのインストーラー偽装したマルウェアに要注意

　配布サイトは正規のNotionのWebサイトを模倣している他、偽のインストーラーは正当な証明書で署名されているにもかかわらず、インストール時にマルウェアも同時にPCに導入するため注意が必要だ。

　Notionを偽装したWebサイトからインストーラーをダウンロードすると「Notion-x86.msix」という名前の「MSIX」形式のファイルが入手される。このファイルは「Windows」アプリのインストーラーになっており、有効な証明書で署名されている。「Notion-x86.msix」を実行するとインストーラーが起動し、インストールボタンをクリックすることでPCにNotionがインストールされると同時に、マルウェアにも感染する。

　インストールが完了するとアプリケーションパス内に「StartingScriptWrapper.ps1」と「refresh.ps1」という「PowerShell」スクリプトファイルがデプロイされる。StartingScriptWrapper.ps1は正当なPowerShellスクリプトであり、引数として指定されたPowerShellスクリプトを実行する機能を備えている。このファイルを使うことでインストールプロセスおよび特定のPowerShellスクリプト実行中にパッケージ内のconfig.json構成ファイルを読み取ることが可能になる。

　一方、refresh.ps1はマルウェアであり、C＆Cサーバからコマンドをダウンロードして実行する機能を備えている。パッケージ内のconfig.json構成ファイルにはrefresh.ps1を実行するように指定されているため、マルウェアが動作してしまう。refresh.ps1ファイルは空白文字を使って難読化されており、空白で構成される各変数に整数を加算し、それらを加算または乗算することで文字列が完成するといった構成になっている。

　refresh.ps1はC2サーバから追加のPowerShellコマンドをダウンロードして実行する。分析結果を公開した段階ではこのC2サーバは正常に応答していないが、分析の初期段階ではインフォスティーラー「LummaC2」が配布されていたと報告されている。

　AhnLabはダウンロードしたファイルがそもそも公式のWebサイトのドメインからのものであるかどうかを確認するとともに、ファイルが正当な証明書で署名されている場合でも署名作成者を確認する必要があると指摘している。

　同社はこの他、「Slack」や「WinRar」「Bandicam」などのアプリケーションを偽装した複数の亜種が存在しているとし、MSIXファイルを実行する場合は特に注意が必要だと説明している。