Warning: Fake WinRAR Website Delivers Malware Disguised as Installer
2026/01/09 gbhackers —
中国の Web サイト経由で配布される偽の WinRAR インストーラーを通じて、高度なマルウェア攻撃がユーザーを標的としている。これらのインストーラーは、正規のソフトウェア・ダウンロードを装い、多層構造の悪意のペイロードを配信する。セキュリティ研究者が特定したのは、正規のソフトウェア・インストールに見せかけながらシステムを侵害するよう設計された、新たな悪意のファイル群である。
WinRAR は、ファイル圧縮ユーティリティとして高い人気を持つ。そのため、正規の Web サイトだけではなく、非公式ソースからもダウンロードが行われている。このような状況が、サイバー犯罪者にとって魅力的な標的を生み出している。
このマルウェアは、検出と分析を回避する目的で設計された、多層構造による難読化を特徴とする。いわゆる、マトリョーシカ人形攻撃とも呼ばれる特性を備えている。
攻撃のメカニズム
中国国内の複数の Web サイトに拡散している、疑わしい WinRAR インストーラーへのリンクを、サイバー・セキュリティ・アナリストたちが発見したことが、この脅威を明らかにする契機となった。この悪意のネットワークは、組織的な攻撃の開始を示唆するものだ。
ダウンロード元の信頼性を十分に精査しないユーザーがいるという傾向が、この手法により悪用されると、偽ダウンロード攻撃の成功率が大幅に高まる。
一連の悪意のペイロードは、自己解凍型や多段階コンポーネントといった高度な機能を備えている。それにより、追加マルウェアのダウンロード/システムへの永続化/機密データの窃取/リモートアクセス用バックドアの作成などが可能になる。
Detect It Easy (DIE) を用いた、オリジナルの悪意のファイル “winrar-x64-713scp.zip” の初期分析では、多層的な難読化が確認された。具体的には、7-Zip/UPX 圧縮/自己解凍アーカイブ (SFX) の痕跡が確認され、研究者の警戒レベルが即座に引き上げられた。
このアーカイブを展開すると、”winrar-x64-713scp.exe” が生成された。このファイルは UPX 圧縮された実行ファイルであり、意図的に組み込まれた PE (Portable Executable) という異常が確認された。
これらの意図的な改変により、解凍には “-force” オプションの使用が必要になった。解凍時に予期しないヘッダー値に遭遇した UPX には、処理を中断する可能性があるためである。
解凍後のファイルを調査した結果、(Heur)Packer: Compressed or packed data[SFX] とマークされた別の圧縮レイヤーが確認された。
文字列解析により、2つの重要な RunProgram インスタンスが特定された。これらは SFX アーカイブに対して “nowait” パラメータを指定し、解凍直後に埋め込みプログラムを実行するよう指示するものだった。それにより、システムが完全な解凍を終える前に実行が開始される。
埋め込みファイルの1つは “1winrar-x64-713scp1.exe” であり、正規の WinRAR インストーラーであることが確認された。被害者の疑念を払拭し、インストールが正常に行われているように見せるために組み込まれている。
2つ目の埋め込みファイルには、中国語の “安装” (インストール) が含まれており、パスワード保護された “setup.hta” というアーカイブに展開された。
Winzipper マルウェアとの関連性
仮想マシン環境での動的解析により、”setup.hta” が実行時に直接メモリ上へ展開されることが確認された。これは、ファイルベースの検出を回避するための手法である。
さらなる解析の結果、最初の動作として確認されたのは、Windows プロファイルに関する機密情報へのアクセスである。それが示すのは、侵害したシステムに対して最も効果的なマルウェア亜種を選別するための、包括的なシステム偵察が行われることだ。
メモリダンプ解析で明らかになったのは、Winzipper マルウェアに関連する既知のファイル “nimasila360.exe” との関連性である。Winzipper は、正規のファイルアーカイブ・ユーティリティを装う、きわめて危険な脅威亜種である。
この中国語圏由来の悪意のプログラムは、偽装リンクや添付ファイルを通じて侵入し、気付かれない形でバックドアを展開する。その結果として攻撃者が得るのは、被害者に気付かれない状況を維持しながらの、感染端末のリモート制御/機密データの窃取/マルウェア・ペイロードのインストールなどである。
ユーザーは、基本的なセキュリティ対策を講じることで、この種の脅威から身を守ることが可能である。
ソフトウェアは、必ず公式かつ検証済みのソースからのみダウンロードすべきである。ソーシャルメディア/メール/不審な Web サイトなどで共有されるリンクは、利便性が高く見えても避ける必要がある。
最新状態を維持したリアルタイムのマルウェア対策ソリューションを導入し、脅威が実行される前に遮断することも重要である。
また、緊急性を煽られた状況での判断には注意が必要である。脅威アクターが採用する戦術には、ユーザーに十分な検証を行わせずに、迅速な解決策を求める心理作戦もある。
人気の WinRAR を装う、偽インストーラーを解説するトピックです。この問題の背景にあるのは、 WinRAR という広く普及したツールの人気を悪用する多層構造の難読化と心理的な偽装です。具体的には、 7-Zip/UPX 圧縮/自己解凍アーカイブ (SFX) を何重にも組み合わせることで、セキュリティソフトの検出を回避する仕組みになっていました。さらに、本物のインストーラーを同時に動かすことで、ユーザーに正しくインストールされたと信じ込ませ、その裏でマルウェア本体 (Winzipper 関連) を実行させるという巧妙な工夫が施されています。公式サイト以外からのダウンロードには、こうしたリスクが潜んでいますので、ご注意ください。よろしければ、WinRAR での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.