マルウェアが有名サイトで公開されている手口を見た
先日 IZArc にマルウェアが同梱されている記事を書きましたが、もう少し調べてみると、公式配布しているバージョンと異なるものもあることが分かりました。
例えば、 4.1.7 だけ インストーラーのサイズが 417kで小さいのですが。
デジタル署名を開いてみると・・・。
Somoto Ltd.
調べてみると、マルウェアの配布元がリパッケージし直したインストーラーだということが分かります。
更に!インストールを実行すると
installer.filebulldog.com/izarc417/izarc417/ にアクセスして何かファイルをダウンロードしようとします
(リンク既に消され、証拠隠滅されていますが・ω・; )
元々、 filebulldog.com 自体は古いバージョンの フリーウェア のサイトなんですが、管理がいい加減なのか、これが悪用されて、マルウェアのインストーラのダウンロード先として よく利用されてるようです
正規の差分インストーラーを最初アップして、それをダウンロードしてインストールするプログラムを有名サイトにアップロード。審査が通った後、ころあいを見計らって、ダウンロード先の差分インストーラーを、マルウェアに差し替えてしまえば、安全だと思ってダウンロードしてインストールした人がマルウェアの餌食になるという…。
実に巧妙ですね ・ω・
まぁ、私はオンラインインストーラーは嫌いなんで、オフラインインストーラーをわざわざ探してきて入れています
皆さんもご注意を
Translate
Comments