脅威インテル

偽のWinRARダウンロードは、本物のインストーラーの背後にマルウェアを隠している

ピーター・アーンツ| 2026年1月8日
トロイの木馬

当社のウェブ調査チームの一員が、複数の中国系ウェブサイトからリンクされていた偽のWinRARインストーラーを私に指摘しました。こうしたリンクが出現し始めた時は、通常、新たな攻撃キャンペーンの兆候と見なせます。

ファイルをダウンロードして分析を始めたところ、それはまるでマトリョーシカ人形のような構造だった。層が次から次へと、幾重にも重なっている。

WinRARは人気のユーティリティであり、しばしば「非公式サイト」からダウンロードされるため、偽のダウンロードを提供するキャンペーンが効果を発揮する可能性が高くなります。

多くの場合、これらのペイロードには自己解凍型または多段階型のコンポーネントが含まれており、初期のシステム分析に基づいて、さらなるマルウェアのダウンロード、永続化の確立、データの窃取、バックドアの開設などを行う可能性があります。したがって、このマルウェアが最初に行ったアクションの一つが、Windows 情報という形でWindows アクセスすることだったのは驚くべきことではありませんでした。

この事実は、当社の分析によるその他の知見(下記参照)と相まって、当該ファイルが影響を受けたシステムに対して「最適」なマルウェアを選択した後、さらに侵害や感染を行うことを示唆している。

安全に過ごすには

問題を解決するソフトウェアを探す際、特に迅速な解決策を求める時は、間違いを犯しがちです。こうした状況で安全を確保するための、いくつかの簡単なヒントがあります。

  • ソフトウェアは公式かつ信頼できるソースからのみダウンロードしてください。ソーシャルメディア、メール、またはその他の見知らぬウェブサイトで、そのソフトウェアを提供すると謳うリンクをクリックすることは避けてください。
  • リアルタイムで最新のマルウェア対策ソリューションを使用し、脅威が実行される前にブロックします。

分析

元のファイル名は winrar-x64-713scp.zip そしてDetect It Easy(DIE)による初期分析は、すでに複数のレイヤーの存在を示唆していた。

簡単検出ファースト分析
Detect It Easyの初期分析:7-Zip、UPX、SFX — 他に何かある?

ファイルを解凍すると生成された winrar-x64-713scp.exe それはUPXで圧縮されたファイルであることが判明し、 --force 意図的なPE異常による展開オプション。UPXは通常、実行可能ヘッダーフィールド内で予期しない値や未知のデータを見つけた場合、圧縮を中止します。そのデータはプログラムが正しく動作するために必要となる可能性があるためです。 --force このオプションは、UPXにこれらの異常を無視して、それでも解凍を続行するよう指示します。

解凍されたファイルを見ると、DIEはさらに別の層を示していた: (Heur)Packer: Compressed or packed data[SFX]ファイル内の文字列を見て、二つ気づいた RunProgram インスタンス:

RunProgram="nowait:\"1winrar-x64-713scp1.exe\" "

RunProgram="nowait:\"youhua163

これらのコマンドは、SFXアーカイブに対し、抽出完了を待たずに埋め込まれたプログラムを直ちに実行するよう指示します。nowait).

PeaZipを使用して、両方の埋め込みファイルを抽出しました。

漢字「安装文字列解析を複雑にしたが、それらは「インストール」と訳され、さらに私の興味をそそった。ファイル 1winrar-x64-713scp1.exe 実際にはWinRARのインストーラーであることが判明し、マルウェアを実行する者の疑念を和らげるために含まれていた可能性が高い。

別のレイヤーを削除した後、もう一方のファイルはsetup.htaという名前のパスワード保護されたzipファイルであることが判明した。ここで使用されていた難読化手法により、動的解析に切り替える必要が生じた。仮想マシン上でファイルを実行したところ、setup.htaは実行時にメモリに直接展開されることが確認された。メモリダンプからは別の興味深い文字列が明らかになった: nimasila360.exe.

これは偽のインストーラーによって頻繁に作成される既知のファイルであり、Winzipperマルウェアに関連付けられています。Winzipperは既知の中国語悪意のあるプログラムであり、無害なファイルアーカイブを装って被害者のコンピューターに侵入します。多くの場合、リンクや添付ファイルを介して侵入します。一度開いてインストールされると、攻撃者がマシンを遠隔操作し、データを盗み、追加のマルウェアをインストールすることを可能にする隠されたバックドアを密かに展開します。その間、被害者は単に正当なソフトウェアをインストールしただけだと信じています。

妥協の指標(IOCs)

ドメイン:

winrar-tw[.]com

winrar-x64[.]com

winrar-zip[.]com

ファイル名:

winrar-x64-713scp.zip

youhua163インストール.exe

setup.hta (ドロップイン) C:\Users\{username}\AppData\Local\Temp)

MalwarebytesコンポーネントMalwarebytes、悪意のあるファイルとインストーラーをホストするすべてのドメインをブロックします。

Malwarebytes [.]comをMalwarebytes
Malwarebytes [.]comをMalwarebytes

著者について

ピーテル・アルンツ

ピーテル・アルンツ

マルウェアインテリジェンス研究者

コンシューマー・セキュリティ部門で12年連続マイクロソフトMVP。4ヶ国語を操る。リッチなマホガニーと革張りの本の匂い。

最新記事

ニュース
年齢確認チェック

研究者によると、年齢確認ベンダーのペルソナがフロントエンドを公開状態にしていた

2月20, 2026

基本的な年齢確認の背後で、研究者らはペルソナのシステムが広範な身元調査、監視リスト照合、および有害メディアスクリーニングを実行していると述べている。

AI
手が下へ伸びて、書かれたパスワードから一つのアスタリスクをつかむ。

AI生成パスワードはセキュリティリスクである

2月19, 2026

AI生成パスワードは「予測可能性が極めて高く」、真にランダムではないため、サイバー犯罪者による解読が容易である。

ニュース
テンガ ロゴ

親密な製品メーカーのテンガが顧客データを流出させた

2月19, 2026

テンガ社員に対するフィッシング攻撃により、米国顧客データが流出した可能性がある。顧客はセクストーションを題材としたフィッシング攻撃に警戒すべきである。

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺