サイバー犯罪の情勢が不穏に進化する中、マルウェア被害者が不本意ながら攻撃者側に組み込まれていく、自己持続的な感染サイクルが出現している。
Hudson Rock脅威インテリジェンスチームが、新たに公開されたClickFix Hunterプラットフォームと協力して行った最新の調査は、明らかにした。それによると、「ClickFix」マルウェア・キャンペーンをホストしているドメインの相当部分は悪意あるインフラではなく、いま配布しているインフォスティーラーそのものによって侵害された正規の企業である。
2024年から2025年にかけて、「ClickFix」手法は目新しいものから業界標準へと成熟した。ブラウザの脆弱性悪用に依存する従来のドライブバイダウンロードとは異なり、ClickFixは人間のオペレーターを標的にする。
Google reCAPTCHA、Chromeの更新、Microsoftのエラー画面といった信頼されたインターフェースを模倣することで、攻撃はユーザーをだましてスクリプトをクリップボードにコピーさせ、Windowsの[ファイル名を指定して実行]ダイアログ(Windowsキー + R、Ctrl + V)から実行させる。
この手動実行により、SmartScreenのような従来型のセキュリティ制御の多くを回避でき、スクリプトはLumma、Vidar、Stealcといったインフォスティーラーをメモリ上に直接ダウンロードする。
フィードバックループ
レポートで最も憂慮すべき発見は、このエコシステムが「ウロボロス」のような性質を持つ点だ。ClickFix Hunterは現在、これらのキャンペーンをホストするアクティブなドメインを1,635件以上追跡している。
このデータをHudson RockのCavalier™サイバー犯罪インテリジェンスと突き合わせたところ、驚くべき相関が明らかになった。これらのアクティブな攻撃ドメインの13%(約220サイト)が、侵害された認証情報のデータベースに明示的に登場している。
これは因果的なフィードバックループを示している:
- 感染:ユーザー(多くは従業員またはIT管理者)がインフォスティーラーに感染する。
- 流出:マルウェアが、WordPressの管理パネルやcPanelログインなどの「シャドーIT」資産の認証情報を窃取する。
- 侵害:攻撃者が盗まれた認証情報を使って正規サイトを乗っ取る。
- 配布:乗っ取られたサイトにClickFixスクリプトが仕込まれ、新たなホストとして機能し、次の被害者を感染させる。
侵害のケーススタディ
レポートではjrqsistemas.comやwo.cementah.comといった具体例が取り上げられている。両ドメインはいずれも、ClickFixマルウェアのアクティブなホストとして特定された。
しかし、Hudson Rockのインテリジェンスデータにより、これらのまさに同一サイトの管理者認証情報が、以前にインフォスティーラーによって収集されていたことが判明した。
jrqsistemasのケースでは、開発者の具体的なWordPressログイン情報がマルウェアのログ内で見つかり、サイトがどのように武器化されたかを示す「決定的証拠」となった。
このモデルの成功は、ソーシャルエンジニアリングの民主化と、認証情報窃取の大規模化に依存している。
攻撃インフラが犯罪者のサーバーに集中するのではなく、無関係な企業数千社に分散しているため、テイクダウンは著しく困難になる。
これに対抗するため、セキュリティコミュニティは文脈を考慮したツールへの依存を強めている。研究者Carson Williamsが開発したClickFix Hunterは、Hudson Rockの無料APIエンドポイントを統合し、純粋に悪意あるドメインと、侵害された正規ドメインを区別する。
この区別は復旧対応において極めて重要であり、フィードバックループを断ち切るには攻撃を遮断するだけでなく、それを支えるデジタルアイデンティティを保護する必要があることを示している。
翻訳元: https://gbhackers.com/host-infostealers/
