Notionをインストールしたらマルウェアに感染? 偽のインストーラーに要注意:セキュリティニュースアラート
AhnLabは、NotionのWebサイトを模倣した偽の配布サイトからNotionのインストーラーに偽装したマルウェアが配布されていると注意を促した。同様の事例はSlackなどのアプリケーションでも確認されているという。
韓国のセキュリティ企業AhnLabは2024年3月11日(現地時間)、コラボレーションツール「Notion」のインストーラーに偽装したマルウェアが配布されていると注意喚起した。
Notionのインストーラー偽装したマルウェアに要注意
配布サイトは正規のNotionのWebサイトを模倣している他、偽のインストーラーは正当な証明書で署名されているにもかかわらず、インストール時にマルウェアも同時にPCに導入するため注意が必要だ。
Notionを偽装したWebサイトからインストーラーをダウンロードすると「Notion-x86.msix」という名前の「MSIX」形式のファイルが入手される。このファイルは「Windows」アプリのインストーラーになっており、有効な証明書で署名されている。「Notion-x86.msix」を実行するとインストーラーが起動し、インストールボタンをクリックすることでPCにNotionがインストールされると同時に、マルウェアにも感染する。
インストールが完了するとアプリケーションパス内に「StartingScriptWrapper.ps1」と「refresh.ps1」という「PowerShell」スクリプトファイルがデプロイされる。StartingScriptWrapper.ps1は正当なPowerShellスクリプトであり、引数として指定されたPowerShellスクリプトを実行する機能を備えている。このファイルを使うことでインストールプロセスおよび特定のPowerShellスクリプト実行中にパッケージ内のconfig.json構成ファイルを読み取ることが可能になる。
一方、refresh.ps1はマルウェアであり、C&Cサーバからコマンドをダウンロードして実行する機能を備えている。パッケージ内のconfig.json構成ファイルにはrefresh.ps1を実行するように指定されているため、マルウェアが動作してしまう。refresh.ps1ファイルは空白文字を使って難読化されており、空白で構成される各変数に整数を加算し、それらを加算または乗算することで文字列が完成するといった構成になっている。
refresh.ps1はC2サーバから追加のPowerShellコマンドをダウンロードして実行する。分析結果を公開した段階ではこのC2サーバは正常に応答していないが、分析の初期段階ではインフォスティーラー「LummaC2」が配布されていたと報告されている。
AhnLabはダウンロードしたファイルがそもそも公式のWebサイトのドメインからのものであるかどうかを確認するとともに、ファイルが正当な証明書で署名されている場合でも署名作成者を確認する必要があると指摘している。
同社はこの他、「Slack」や「WinRar」「Bandicam」などのアプリケーションを偽装した複数の亜種が存在しているとし、MSIXファイルを実行する場合は特に注意が必要だと説明している。
関連記事
- Linux SSHサーバを狙う攻撃キャンペーンを発見 DDoS botや仮想通貨マイナーに悪用
ASECはLinuxのSSHサーバに対する攻撃キャンペーンの分析結果を発表した。攻撃者が管理不十分なサーバに侵入してマルウェアをインストールし、DDoS botや仮想通貨マイナーとして悪用するという。 - Fortinetの脆弱性を放置している約15万台のサーバが見つかる
The Shadowserver Foundationはリモートコード実行可能な脆弱性を抱えたまま運用されているサーバの調査結果を発表した。放置されたままになっている脆弱性が明らかになった。 - Microsoft、Midnight Blizzardにより「機密情報」が漏えいしたと認める
Microsoftはロシア国家が支援する脅威アクター「Midnight Blizzard」によるサイバー攻撃の調査結果を発表した。顧客の「機密情報」が流出した他、窃取されたデータによって不正アクセスの試行が確認された。 - ダークWebを分析した最新の調査結果が公開 1日平均11件の情報がリーク
Unit 42はダークWebを分析した結果を公表した。2023年にリークサイトで公開されたデータは3998件で、対前年比で約49%増加した。1日平均11件の情報がリークされて120カ国が被害を受けた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.