ErrTrafficフレームワークが、ClickFixと呼ばれる巧妙なソーシャルエンジニアリング手法を用いてWordPressサイトを侵害し、危険な情報窃取マルウェアを配布するケースが増加しています。
このフレームワークは「LenAI」という脅威アクターによって2025年末からMalware-as-a-Service(MaaS)として運営されており、偽のエラーメッセージを注入して悪意あるコードを実行させる悪質なJavaScriptエコシステムです。
このフレームワークは、偽のブラウザ更新通知、ブルースクリーン・オブ・デス(BSOD)画面、Cloudflare TurnstileのCAPTCHAプロンプトなど、説得力の高い囮コンテンツを使用し、被害者に悪意あるコマンドをコピーさせるよう誘導します。
ErrTrafficはセキュリティのブロックリストを回避し、持続的なアクセスを維持するために、EtherHidingと呼ばれる高度な技術を採用しています。
これはDead Drop Resolver(DDR)として機能し、Polygonブロックチェーン上のスマートコントラクトにコマンド&コントロール(C2)サーバーのアドレスを隠蔽することを可能にします。
LenAIはサイバー犯罪フォーラムである「Exploit.In」上でこのツールキットを積極的に販売しており、月額380ドルのサブスクリプションプランや、最大4,500ドルの完全ソースコード販売を提供しています。アフィリエイト会員はその高いコンバージョン率と、開発者によるプロフェッショナルな技術サポートを高く評価しています。
セキュリティ研究者は、これらの攻撃を主導する2つの運用クラスターを特定しており、それぞれ「Analytics」クラスターと「Beer」クラスターと呼ばれています。
Analyticsクラスターは、Polygonブロックチェーン上の単一の安定したスマートコントラクトを利用してC2ドメインを取得し、Vidar情報窃取マルウェアのみを配布しています。
このクラスターは、ErrTrafficの旧バージョン(暗号化されていない)のソースコードを購入した単一の脅威アクターによって運営されていると見られています。
最初の注入スクリプトは専用のエンドポイントからClickFixの囮コンテンツを取得しており、C2との通信を難読化せずに動作します。
一方、Beerクラスターは複数のサイバー犯罪アフィリエイトが利用する主要なMaaSインフラとして機能しています。各アフィリエイトにはC2ドメインを取得するための個別のスマートコントラクトが割り当てられており、珍しい「.beer」トップレベルドメインが頻繁に使用されています。
Beerクラスター内の通信はRC4暗号化で保護されており、配布される悪意あるペイロードはキャンペーンを管理するアフィリエイトによって大きく異なります。
このクラスターを通じて配布されるマルウェアファミリーには、Vidar、Stealc、Remus、Salatなどの情報窃取マルウェアに加え、SmokeLoaderなどのローダーが含まれています。
注入されたスクリプトは、暗号化されたAPIリクエストを通じて悪意あるClickFix囮コンテンツを取得し、高度に難読化されたPowerShellコマンドを通じて実行します。
これらのPowerShell実行には特徴的な文字列パターンが見られることが多く、スクリプトブロックロギングを活用した脅威ハンティングにおいて、防御側に具体的な検出の手がかりを提供しています。
ErrTrafficのアフィリエイトは、ソフトウェアの脆弱性を悪用するのではなく、窃取した管理者認証情報を使用してWordPressインスタンスへの初期アクセスを獲得するのが一般的です。
認証に成功すると、攻撃者はMust-Use(MU)プラグインに偽装した高度なWebシェルおよびPHPインプラントを展開します。
これらのバックドアには、WooCommerceのスキミング、認証情報の収集、そしてWordfenceなどのセキュリティスキャナーを検出した際にマルウェアを一時的に無効化する回避機能といった高度な能力が備わっていると、Sekoiaが報告しています。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の表記に戻して使用してください。
翻訳元: https://cyberpress.org/clickfix-delivers-infostealers-via-wordpress/
