今週、Classic Shell と Audacity のダウンロードに、被害者の Windows PC を壊滅させる旧式の悪質なソフトウェアによる罠が仕掛けられました。
ハッカーたちは、Classic Shell や Audacity などのソフトウェア プロジェクトの公式ホームである fosshub.com でホストされている人気アプリケーションのインストーラーに、レトロマルウェアを挿入することに成功した。
火曜日に被害者が汚染されたダウンロードファイルを入手し、本来インストールされるべきアプリではなく実行したところ、コンピューターのマスターブートレコード(MBR)がコードに置き換えられ、次回の再起動時または電源投入時に不自然なメッセージが表示され、マシンが正常に起動しなくなりました。メインドライブのパーティションテーブルも損傷した可能性があります。
こういった悪質な行為は1980年代か1990年代初頭には廃れていたと考えていました。この方法が機能するには、被害者はダウンロードが合法ではないという警告を無視する必要がありました。
再起動後に表示されるメッセージは次のとおりです。
再起動すると、MBRが上書きされていることに気づきました!冒険はここで終わってしまったのは残念です!
憎しみはすべてPegglecrew(Twitterの@cultofrazer)へ向けてください
Cult of Razer は Twitter で共有できるものがありません。Peggle Crew は、実際にはソーシャル ネットワークのこちら側にあると聞きました。
Classic Shellは、Windows 7スタイルのスタートメニューをWindows 7以降のエディションに復活させる、無料で人気のアプリケーションです。Audacityはオープンソースで、無料のマルチトラックオーディオエディター兼レコーダーとして知られています。
一部のコンピューターでは、MBRの上書きはPeggle Crewの予想通り、メッセージが表示されて機能しました。他のシステムでは、次の再起動時にBIOS設定画面、または点滅するカーソルのみの空白画面が表示されるという、途方に暮れた被害者もいました。破損したMBRは修復可能です。特にWindowsリカバリディスクをお持ちの場合は修復可能です。また、破損したパーティションテーブルを復元するにはTestDiskが必要です。
技術にあまり詳しくない人は、イライラのあまりコンピュータを消去して最初からやり直すことになるかもしれません。ソフトウェアのせいでドライブに何か予期せぬものが残っていた場合に備えて、とにかくコンピュータを消去して、適切なバックアップから復元することをお勧めします。
「Windows 10 のアニバーサリー アップデートをインストールした後、Classic Shell がアンインストールされ、スタート メニューが以前よりもさらに悪化していることに気付きました」と、Classic Shell フォーラムで peterb さんが述べています。
「そこでサイトにアクセスし、最新バージョン4.3がアップデートに対応しているかどうかを確認し、ダウンロードしました。インストールしようとしたら信頼できないと表示されましたが、そのままインストールしてみましたが、何も起こりませんでした。ノートパソコンを再起動すると、すぐにBIOS画面が表示されました。幸い、システム修復ディスクが手元にあったので、Windowsを修復することができました。」
FossHubは、スパイウェアやアドウェアのない無料オープンソースソフトウェアのホストを目指しています。水曜日に同サイトの管理者が発表したところによると、ハッカー集団がClassic ShellとAudacityのダウンロードにアクセスできる2つのユーザーアカウントを乗っ取ったとのことです。
攻撃者はClassic Shellページにマルウェアファイルをアップロードし、約300回ダウンロードされました。私たちは数分以内にファイルを削除し、利用していたすべてのサービスのパスワードを変更しました。
彼らは貪欲で、FossHubに掲載されている最大のプロジェクトであるAudacityとClassic Shellを標的にしました。Audacityインストーラーについては迅速に対応しましたが、Classic Shellについては数百人のユーザーがマルウェアに感染したバージョンをダウンロードすることができました。
数時間後、攻撃者が FTP アカウントを通じてアクセスできるようになったことが判明し、さらなる感染や被害を防ぐためにメイン サーバーを直ちにシャットダウンすることにしました。
現在、すべての再インストール、すべてのアクセス権とパスワードの変更、そして新しいセキュリティルールの適用を進めています。「お詫び申し上げます」と申し上げたいところですが、私(個人)にとっても、FossHubチームメンバー全員にとっても、今日が最悪の日であることは認めざるを得ません。
この悪質なソフトウェアはその後、Virustotal に提出されました。
Classic Shell の開発者である Ivo Beltchev 氏は、ダウンロードに不安のある人に対して、セキュリティ証明書を確認するようアドバイスしています。正規のバージョンでは Beltchev 氏が検証済みの発行元として表示されますが、悪意のあるビルドは Windows 上では不明な発行元からのもののように表示されます。
本物のインストーラー通知(左)と悪意のあるインストーラー通知(右)の写真
一方、Team Audacityは、「2016年8月2日の約3時間、当社のダウンロードサーバーはマルウェアを含むハッキングされたAudacityのコピーを提供していました。これは、ハッカーが当社の開発者の1人のパスワードを入手し、それを使ってマルウェアをアップロードしたことが原因です」と述べています。
「私たちは開発者、ドキュメント作成者、サポートおよびヘルプ担当者のコミュニティであり、強力なセキュリティ プロトコルを備えた専用のセキュリティ チームを擁する商業組織ではありません。
外部ファイルの監視など、適切な安全対策が講じられていませんでした。明らかに警戒が不十分でした。今後数週間にわたり、より安全で安心な組織となるよう取り組んでまいります。®
