巧妙なWinos 4.0マルウェア亜種は、偽装されたNSISインストーラーを悪用して多段階攻撃を実行します。このマルウェアはWindows Defenderのセキュリティ設定を操作し、例外を作成して動作の余地を与えます。これらの動作は、データの盗難、レジストリの改ざん、PCアクティビティの不正監視など、深刻な結果をもたらします。
Winos 4.0マルウェアの危険性を理解する
Winos 4.0マルウェアは、 Gh0st RATに起源を持つ、高度な悪意のあるソフトウェアファミリーに属しています。「4.0」という名称は特定のバージョンを示すものではなく、1年以上前から存在するより広範なカテゴリにおける分類を反映しています。特に、2025年5月22日には、Rapid7がVPNとブラウザインストーラーを利用してペイロードを展開するWinos 4.0の亜種を報告しました。
このマルウェアは、破損した実行ファイルとして動作する偽のNSISアプリケーションを展開することで、連鎖反応を引き起こします。インストーラー名は、 QQBrowser_Setup_x64.exeやLets.15.0.exeなど、ユーザーの信頼を悪用した無害なものが多いです。このような巧妙な欺瞞戦術により、Winos 4.0は特に危険です。インストールされると、 VBScriptランチャー、PowerShellローダー、悪意のあるDLL 、設定ファイルなどの追加コンポーネントが密かにドロップされます。Rapid7はこの多段階ペイロードを「Catenaローダー」と呼んでいます。
Winos 4.0の重要な特徴は、ペイロードを隠蔽するための除外設定を導入するサイレントPowerShellコマンドを通じて、永続性を維持する能力です。驚くべきことに、このマルウェアは数週間潜伏した後、起動し、パスワードや暗号通貨の情報を取得し、レジストリを操作しながら、スクリーンショット、ウェブカメラの映像、マイクの音声を監視します。Remcos RATと同様に、完全にメモリ内で動作するこのマルウェアは、ディスクに痕跡を残さないことで検出を回避します。
インストーラのデジタル署名を検証する方法
PCを保護するには、インストール前にアプリケーションのデジタル署名を入念に確認することが不可欠です。アプリケーションを右クリックし、「プロパティ」 → 「デジタル署名」と進み、「詳細」 → 「証明書の表示」をクリックして、インストーラーの信頼性を確認してください。
上の画像は、QQBrowser のデジタル署名を確認している様子を示しています。偽の NSIS インストーラーを使用した悪意のある亜種が存在するにもかかわらず、このアプリケーションの正当な開発元である Tencent Technology からの有効な署名が付いています。
必須のWindowsセキュリティ対策
Winos 4.0 にはWindows Defender を欺く巧妙な能力がありますが、 Windows セキュリティアプリ内で防御を強化するために実行できる手順は数多くあります。
NSIS インストーラーの実行を防ぐには、管理者モードでPowerShellを起動し、以下のコマンドを実行します。これにより、全面的な禁止を実施することなく、攻撃対象領域 (ASR)を効果的に削減できます。
Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
次に、Windows セキュリティ アプリケーションにアクセスします。「ウイルスと脅威の防止」→ 「ウイルスと脅威の防止の設定」→ 「設定の管理」に移動し、リアルタイム保護が有効になっていることを確認します。
さらに、「ウイルスと脅威の防止」の下にある「ランサムウェア対策の管理」までスクロールします。「コントロールされたフォルダーアクセス」が無効になっている場合は、再度有効にしてください。「コントロールされたフォルダーアクセスを介してアプリを許可する」オプションを使用して、信頼できるアプリケーションをホワイトリストに追加することもできます。
これらの基本的なWindowsセキュリティ保護を実装することは、効果的な第一線での防御となります。上級ユーザーは、Windows 4.0マルウェアを特にブロックするようにファイアウォール設定を強化することも検討してください。
Winos 4.0 が Windows Defender で除外リストを作成しないようにする
Winos 4.0が用いる巧妙な戦術の一つは、Windows Defenderのスキャンプロトコルに除外を設定することです。この脅威を阻止するために、事前に対策を講じることができます。
PowerShellを管理者モードで開き、以下のコマンドを使用して、有害なスクリプトを制限する実行ポリシーを追加します。確認のため、 A をフラッシュしてください。
Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Restricted
すべてのドライブにわたって不正な除外を制限するには、PowerShell で次のコマンドを実行します。
Remove-MpPreference -ExclusionPath C:\, D:\, E:\, F:\, G:\, H:\, I:\, J:\, K:\, L:\, M:\, N:\, O:\, P:\, Q:\, R:\, S:\, T:\, U:\, V:\, W:\, X:\, Y:\, Z:
Autoruns による偽の NSIS エントリの検出
Autorunsと呼ばれるMicrosoftツールを使用すると、疑わしいNSISエントリを含む、不要なスタートアッププログラムを追跡できます。この方法は、WinOS 4.0を特定し、その実行を防ぐ最も効果的な方法の一つです。
まず、 SysinternalsのウェブページからAutorunsのZIPファイルをダウンロードしてください。インストールは不要です。ファイルを解凍し、「Autoruns64」(Windows 64システム用)をダブルクリックするだけです。これにより、アクティブなログオン、スケジュールされたタスク、プロセスの概要が表示されます。赤でフラグ付けされたエントリを探し、ハイライト表示されたNSIS関連のエントリを注意深く監視してください。
正規のWindowsアプリインストーラーは、多くの場合、疑われずに済みます。SmartScreen(有効にしておく必要があります)を経由し、Windowsセキュリティチェックを通過すると、ユーザーはこれらのアプリケーションが安全だと思い込んでしまうことがよくあります。しかし、この思い込みがWinos 4.0マルウェアの侵入口となるのです。スクリプト実行を制限してPowerShellウィンドウを堅牢に保護することで、防御力を大幅に強化できます。VirusTotalなどのサービスを活用して、インストーラーパッケージに潜在的なマルウェアの脅威がないか分析しましょう。
よくある質問
1. Winos 4.0 マルウェアとは何ですか? また、どのようにしてシステムに感染するのですか?
Winos 4.0は、Gh0st RATから派生した高度なマルウェアであり、通常は正規アプリケーションを装った偽装NSISインストーラーを介してシステムに感染します。インストールされると、データの窃盗や監視につながる多段階攻撃を実行できます。
2. Winos 4.0 マルウェアからコンピューターを保護するにはどうすればよいでしょうか?
すべてのインストーラーのデジタル署名を検証し、Windows セキュリティ保護を有効にし、Windows Defender で不正な除外を防止し、Autoruns などのツールを使用して疑わしいエントリを検出することで、コンピューターを保護します。
3.コンピュータがマルウェアに感染している可能性があることを示す兆候は何ですか?
感染の兆候としては、システムの異常な速度低下、起動時に認識されないプログラム、インストール済みアプリケーションの予期せぬ動作、頻繁なシステムクラッシュなどが挙げられます。感染が疑われる場合は、信頼できるウイルス対策ソフトウェアでシステムを直ちにスキャンすることが重要です。
コメントを残す