- Steamコミュニティのコメントにペイロードを隠蔽
- WordPressサイトをバックドアのホスティングに悪用
- 7月以降、約2,000サイトが侵害される
GoDaddyのセキュリティ研究者が、Steamコミュニティアカウントのコメントをコマンド&コントロール(C2)インフラとして利用する、巧妙な新たなマルウェアキャンペーンを発見しました。
攻撃の手口は次のとおりです。攻撃者はまず、脆弱性を抱えたWordPressサイトや、推測されやすい認証情報で保護されたサイトを探し出し、サイト内のファイルにPHPマルウェアを仕込みます。今回のサンプルは、テーマの「functions.php」ファイル内で発見されました。このマルウェアには、JavaScriptインジェクションコンポーネントとサーバーサイドのバックドアの両方が含まれています。
感染したサイトに訪問者がアクセスすると、マルウェアは複数のSteamコミュニティプロフィールのいずれかに接触し、プロフィールのコメント内容をダウンロードします。これらのコメントは一見無害(ただし意味をなさない内容)に見えますが、実際のペイロードを運ぶ不可視のUnicode文字が埋め込まれています。
業界への影響
「このエンコード手法により、通常のテキストに見せかけながらバイナリデータを埋め込むことが可能です。目に見える文字はカモフラージュとして機能し、不可視の文字が実際のペイロードを運んでいます」と、GoDaddyは説明しています。
マルウェアはこれらの文字を抽出してバイナリデータに変換し、元のバイト列を復元します。研究者の調査によると、復元されたデータには攻撃者が管理するURLが含まれており、そのURLは正規のライブラリを装ったJavaScriptファイルをホスティングするドメインを指していることが判明しました。
次にマルウェアはWordPressを利用して、攻撃者が管理するJavaScriptをすべてのフロントエンドページに読み込ませます。訪問者のブラウザはこのスクリプトをダウンロードして実行し、その過程で感染する仕組みです。
今回のキャンペーンには、脆弱なWordPressサイトとその訪問者という2つの攻撃対象が存在します。GoDaddyは昨年7月にこのキャンペーンを発見して以来、約2,000件のWordPressサイトが侵害されていることを確認しています。なお、調査レポートでは訪問者に対するマルウェアの具体的な動作については言及されていません。
WordPressサイトを運営している場合、GoDaddyはSteamコミュニティURLへの参照、外部からのJavaScriptインジェクション、WordPressからSteamへの外部通信がないかを確認するよう推奨しています。
