Malwarebytesは5月9日(米国時間)、「Fake system update drops Aurora stealer via Invalid Printer loader」において、Windows Updateに偽造した広告を使うマルバタイジングキャンペーンが展開されているとして、注意を喚起した。システムアップデートに悩まされているWindowsユーザーを標的にマルウェアが配布されていることが明らかとなった。

  • Fake system update drops Aurora stealer via Invalid Printer loader

    Fake system update drops Aurora stealer via Invalid Printer loader

Windowsのセキュリティ更新のように見せかけた悪意のあるポップアンダー広告が発見された。あたかもWindowsのセキュリティ更新プログラムが動作しているかのように見せかけ、非常にリアルなフルスクリーンアニメーションを表示する広告であることが確認されている。この広告の裏では、フルスクリーンで表示されるWebブラウザが動作しており、最終的に「ChromeUpdate.exe」というァイルがダウンロードされる仕組みとなっている。

ファイルはマルウェアをドロップするよう設計されたローダであることがわかった。新たに特定されたローダは「Invalid Printer」と呼ばれており、アンチウイルスエンジンをバイパスするよう開発されているという。ローダにパッチを適用することでドロップされるマルウェアがAuroraであることもわかっている。Auroraはインフォスティーラとして人気の高いマルウェア。Goベースで開発されており、システムから認証情報を採取するよう設計されていることで知られている。

Windowsユーザーはこのようなマルバタイジングキャンペーンがあることを認識し、日頃から注意することが求められている。不審な広告や急なシステム更新を要求するポップアップウィンドウに注意するとともに、公式のソフトウェアアップデートチャネル以外からの更新を受け付けないことが望まれている。