TokyoBlackHatNews

malwarebytes.com 4分で読了

700以上の教育・技術系Webサイトが大規模なClickFixマルウェアキャンペーンで乗っ取られた

攻撃者は重大なGhost Content Management System CMS)の脆弱性を悪用して、700以上の正規なWebサイトを乗っ取り、訪問者がマルウェアをインストールするWindowsコマンドを実行させるフェイクのCloudflare検証ステップを注入しています。

Webサイトの訪問者が自分のシステムで悪意のあるコマンドを実行するようにだまされるこれらのソーシャルエンジニアリングキャンペーンは、一般的に「ClickFix」攻撃として知られています。この場合、サイバー犯罪者は大学や技術企業を含む信頼できる組織に属するWebサイトを悪意のあるコマンドを実行させるようにだましますマルウェアキャンペーンの配信プラットフォームに変えてしまいました。

700以上のGhostベースのWebサイトは、CVE-2026-26980として追跡されている既知のSQLインジェクション脆弱性を通じて侵害されました。攻撃者はこのバグを使用して管理用APIキーを盗み、影響を受けたサイト全体のポストやページに悪意のあるJavaScriptを静かに注入しました。

研究者たちは、注入されたスクリプトが第2段階のClickFixフローを読み込み、訪問者に偽のCloudflareまたはCAPTCHA検証ダイアログを表示することを発見しました。

Image

通常のチェックボックスの代わりに、ページはユーザーにWindowsの実行ダイアログまたはPowerShellにコマンドをコピー・ペーストするよう指示し、事実上、彼らが自分のシステムにマルウェアをインストールするようにだまします。

Webサイト管理者向けの詳細情報

このキャンペーンの中心にあるのは、GhostのContent APIにおける重大なSQLインジェクションバグです。研究者たちは次のように指摘しました:

「認証なしで、攻撃者はこの脆弱性を通じてデータベースの内容を直接読み取ることができ、Ghost Admin APIを呼び出すために使用される管理APIキーも含まれます。」

この脆弱性はGhostバージョン3.24.0から6.19.0に影響を及ぼし、ログインなしで悪用される可能性があります。

パッチが適用されたバージョンが利用可能になり、できるだけ早くインストールする必要があります。ClickFixキャンペーンのためだけではなく、攻撃者が管理APIキーを盗むと、ポストの編集、削除、または作成、スクリプトの注入、テーマのハイジャック、およびユーザーに表示されるコンテンツの他の改ざんができるようになります。

安全を保つ方法

このキャンペーンは、指示が「あなたが人間であることを確認する」「接続を修正する」または「サイトに続ける」などの無害な技術的ステップとしてフレーム化されているため、特に効果的である可能性があります。さらに悪いことに、ユーザーがすでに信頼しているWebサイトにコンテンツが表示されます。

ClickFixが猛威を振るっており、すぐになくなる気配がないため、認識を持ち、注意深く、保護されることが重要です。

  • ペースを落としてください。特にページがデバイスでコマンドを実行したりコードをコピー・ペーストするよう要求する場合、Webページの指示に深く考えずに従わないでください。攻撃者は緊急性に依存して批判的思考をバイパスし、多くのClickFixページはカウントダウン、フェイクユーザーカウンター、またはあなたが迅速に行動させるための他の圧力戦術を使用しています。
  • 信頼できないソースからのコマンドまたはスクリプトの実行を避けてください。ソースを信頼し、アクションの目的を理解している場合を除き、Webサイト、メール、またはメッセージからコピーされたコードまたはコマンドを実行しないでください。Webサイトがコマンドを実行するか技術的なアクションを実行するよう指示する場合、進める前に公式ドキュメントを確認するか、サポートに連絡してください。
  • コマンドをコピー・ペーストするときは注意してください。攻撃者は悪意のあるペイロードをクリップボードテキストの中に隠すことがよくあります。コマンドをコピー・ペーストする代わりに手動で入力すると、知らないうちに隠された悪意のあるペイロードを実行するリスクを減らすことができます。
  • デバイスを保護してください。最新の、リアルタイムのマルウェア対策ソリューションをWebプロテクションコンポーネント付きで使用してください。
  • 進化する攻撃技術について情報を得てください。サイバー犯罪者は常に彼らの方法を適応させ、認識は依然としてあなたの最良の防御の一つです。だからブログの読書を続けてください!

プロのヒント:フリーのMalwarebytes Browser Guard拡張機能は、Webサイトがあなたのクリップボードに何かをコピーしようとしたときにあなたに警告することをご存知ですか?

脅威が害をもたらす前に止めてください。

Malwarebytes Browser Guardはフィッシングページと悪意のあるサイトを自動的にブロックします。無料、ワンクリックインストール。ブラウザに追加する→

翻訳元: https://www.malwarebytes.com/blog/bugs/2026/05/700-education-and-tech-websites-hijacked-in-huge-clickfix-malware-campaign

ソース: malwarebytes.com
#CAPTCHA詐欺 #ClickFix #CVE-2026-26980 #Ghost CMS #SQLインジェクション #Webサイト乗っ取り #セキュリティ脆弱性 #ソーシャルエンジニアリング #マルウェア #教育機関

関連記事

マイクロソフトになりすましたサギ師たちは、米国の経営幹部からの支援を受けていた

Chrome をすぐにアップデート: 重大なバグにより攻撃者がコードを実行できる可能性

Microsoft Defenderの脆弱性が実際に悪用されている