Steamプロフィールにペイロードを隠すWordPressマルウェアキャンペーン

Steam Communityのプロフィールコメントにコマンド＆コントロール（C2）データを隠蔽するマルウェアが、約2,000件のWordPressウェブサイトに感染していたことが明らかになりました。

脅威アクターは不可視のUnicode文字を使用してペイロードをエンコードし、悪意あるスクリプトへのURLを構築します。Valveのプラットフォームを悪用することで、攻撃者は独自のC2インフラを維持する必要がなく、従来の検出手法を回避することができます。

このキャンペーンが2025年7月に初めて発見されて以来、GoDaddyのセキュリティエンジニアは約1,980件のWordPressウェブサイトでマルウェアを検出しています。

ハッカーがどのようにウェブサイトに侵入したかは不明ですが、研究者らは初期感染経路として、管理者ログイン情報の窃取やFTP/SFTP認証情報の漏洩から、脆弱なWordPressテーマやプラグインの悪用、さらにはサプライチェーン攻撃まで多岐にわたると評価しています。

ウェブサイトに埋め込まれた第一段階のマルウェアは、WordPressのページ読み込みを利用して特定のSteamプロフィールにアクセスし、一見無害に見えるコメントからテキストを抽出します。

しかしそのテキストには、時にASCIIアートに偽装した悪意あるペイロードを隠す、不可視のUnicode文字が含まれています。

GoDaddyの研究者はレポートの中で、脅威アクターがエンコードされたペイロードに6種類の不可視Unicode文字を使用していると指摘しています。

• ゼロ幅非接合子（U+200C）
• ゼロ幅接合子（U+200D）
• 関数適用（U+2061）
• 不可視乗算（U+2062）
• 不可視区切り（U+2063）
• 不可視加算（U+2064）

デコーダーは可視文字を無視し、不可視文字を対応する数値にマッピングします。その後、バイナリ表現に変換し、バイナリストリームからバイト列を再構築します。

「このエンコーディングにより、通常のテキストに見せかけながらバイナリデータを埋め込むことが可能です。可視文字はカモフラージュとして機能し、不可視文字が実際のペイロードを運びます」とGoDaddyは説明しています。

研究者によると、デコードされたペイロードはhello-mywordl[.]infoのURLを構築するために使用され、生成されたJavaScriptコードがすべてのWordPressフロントエンドページに注入されるとのことです。

ファイル名（例：asahi-jquery-min-bundleやlodash.core.min.js）から判断すると、取得されたマルウェアは正規のJavaScriptライブラリに偽装されています。

攻撃の最終段階では、特定の認証クッキーを含む特殊に細工されたPOSTリクエストに応答するバックドアが実装されます。研究者によれば、「tEcaKKXEsbクッキーが存在する場合、バックドアはPOSTパラメーターを介してbase64エンコードされたPHPコードを受け付けます」とのことです。

GoDaddyは、マルウェアが使用する複数の回避メカニズムを報告しています。8進数や16進数エスケープを用いた文字列の難読化、ランダム化された関数名、無効化されたログコードを装ったフェイクコード、そして標準WordPress APIの利用により、通常の動作に巧みに紛れ込む手口が確認されています。

サイト管理者は、Steam CommunityのURLへの参照、不審な外部JavaScriptの注入、WordPressサーバーからSteamへの送信接続、そしてhello-mywordl[.]infoなどのドメインからの予期しないスクリプト読み込みを確認することで防御が可能です。

その他の指標としては、不可視のUnicode文字、不審な_transient_caption_キャッシュエントリ、cURLリクエストでのSSL検証の無効化、マルウェアの認証クッキーやnew_codeパラメーターを含むPOSTリクエストなどが挙げられます。

研究者は、セキュリティチームが感染日以前の既知の正常なバックアップからの復元を最優先とするよう推奨しています。それが不可能な場合は、「バックドアのいずれかのコンポーネントが残存していると、攻撃者はバックドアを通じて削除されたコードを再インストールできる」ため、手動クリーニングを徹底的に行う必要があります。