脅威アクターたちは、悪意ある基盤インフラを隠蔽するために、信頼性の高いプラットフォームを活用するケースが増えています。2025年7月に初めて検出されたキャンペーンでは、攻撃者がSteamコミュニティプロフィールへのコメントをコマンド&コントロール(C2)チャネルとして利用し、WordPressマルウェアを配布していることが判明しました。
GoDaddy Securityの研究者たちは、約1,980件のWordPressサイトでこの感染を確認しています。
攻撃者は目立ちやすい悪性サーバーを自ら運用するのではなく、Valveのゲームプラットフォーム上のASCIIアートの中にエンコードされたペイロードを隠し込んでいます。この手口により、侵害されたウェブサイトへの持続的なアクセスを維持しながら、セキュリティの監視をかいくぐることが可能になっています。
このマルウェアが特に危険なのは、二つの主要な機能を同時に実行する点にあります。まず一つ目は、クライアントサイドでのJavaScriptインジェクションです。SteamプロフィールからエンコードされたURLを取得し、WordPressページへと注入します。
wp_enqueue_scriptやset_transientといった標準的なWordPress関数を利用しているため、悪意ある動作が正規のプラグインの挙動と見分けがつかない形で紛れ込んでいます。
感染はWordPressページの読み込みをきっかけに始まります。cURLを使って特定のSteamプロフィールへ正規に見えるHTTPリクエストが送信され、接続が確立するとマルウェアはSteamページのコメントテキストセクションから隠されたペイロードを抽出します。
攻撃者はこのペイロードの偽装に、不可視のUnicodeステガノグラフィを駆使しています。6種類のゼロ幅文字および不可視Unicode文字のシーケンスを使ってバイナリデータをエンコードし、一見無害なコメントの中に埋め込む仕組みです。
マルウェアはテキストをスキャンして目に見えるデコイ文字を取り除き、不可視のUnicode文字を数値にマッピングして、バイナリペイロードを再構築します。
より高度なバリアントでは、ペイロードにAES-256-CTR暗号化、PBKDF2鍵導出、HMAC-SHA256認証が組み合わせて適用されており、さらなる堅牢化が図られています。
デコードが完了すると、hello-myworld[.]infoのような外部ドメインを指すURLが生成されます。
このURLはWordPressのフロントエンドページに外部JavaScriptファイルとして注入され、LodashやjQueryといった正規ライブラリを装った名称が意図的に付けられます。
解析をさらに困難にするため、マルウェアはコード難読化技術を多用しています。すべての文字列定数は8進数または16進数のエスケープシーケンスで記述されており、単純なテキスト検索で不審なURLが検出されないよう工夫されています。
さらに、関数名や変数名には大文字と小文字が混在したランダムな形式が使われており、一見すると完全に無作為に見えながらも、異なる感染サイト間で一貫性が保たれています。
このファイル改ざん機能は、プラグインやテーマのディレクトリを再帰的に検索し、既存のマルウェアコードを最新バージョンに置き換えます。
このリモートによる書き換え機能により、サイト管理者が部分的なクリーンアップを試みた場合でも、脅威アクターは持続的なアクセスを維持できるようになっています。
このマルウェアは特定のゼロデイ脆弱性に依存しないため、初期感染の原因としては、管理者認証情報の窃取、SFTPアクセスの侵害、またはサードパーティプラグインの未パッチ状態などが考えられます。
翻訳元: https://cyberpress.org/steam-profiles-power-malware/
