2024年および2025年におけるサイバー犯罪の進化により、「ClickFix」として知られる危険で自己持続的な脅威ベクターが生み出されました。
ClickFix Hunterのデータに裏付けられたHudson Rock脅威インテリジェンスチームによる新たな調査は、衝撃的な循環を明らかにしました。正規の企業ウェブサイトが、インフォスティーラーマルウェアによって盗まれた管理者認証情報を用いて武器化されているのです。
ChromeのようなブラウザやWindowsのようなオペレーティングシステムが防御を強化したことで、従来のウェブベースのエクスプロイトは着実に減少してきました。
これに対応して、サイバー犯罪者は「人間の手助け」を伴うマルウェア配布へと移行し、ユーザーをだまして悪意あるコマンドを実行させています。
典型的なClickFixキャンペーンでは、被害者はマルバタイジングやSEOポイズニングを通じて侵害されたウェブサイトへリダイレクトされます。
これらのページには、CAPTCHAチャレンジ、Chromeの更新エラー、またはWindowsの警告に似せた欺瞞的なオーバーレイが表示されることがよくあります。
ユーザーがそれらとやり取りすると、埋め込まれたJavaScriptスクリプトがPowerShellコマンドをクリップボードにコピーします。続いてサイトは、ユーザーにWindows + Rを押し、「検証コード」を貼り付けてEnterを押すよう指示し、意図せずフル権限で悪意あるスクリプトを実行させます。
このコマンドは、Lumma、Vidar、またはStealcといったインフォスティーラーマルウェアをダウンロードして実行し、ブラウザやアプリケーションからパスワード、トークン、保存済み認証情報を密かに収集します。
ClickFix Hunterのデータによると、ClickFixキャンペーンを配信している稼働中のドメインが1,600以上観測されており、そのうち数百は過去1か月だけで発見されています。
Hudson Rockの分析により、これらの侵害サイト間にはさらに深い関連があることが判明しました。約13%が、インフォスティーラー感染によって管理者認証情報がすでに漏えいしていたドメインと重複していたのです。
jrqsistemas.comおよびwo.cementah.comの事例は、このフィードバックループを示しています。いずれのケースでも、インフォスティーラー感染で盗まれた管理者ログイン情報が、その後攻撃者によって同じウェブサイトの乗っ取りと新たなClickFixペイロードのホスティングに利用されました。
これにより、被害者がさらなる感染拡大の配布に不本意ながら加担してしまう、自己増殖的な連鎖が生まれます。
ClickFix Hunterのリアルタイム監視とHudson RockのCavalier™サイバー犯罪インテリジェンスを組み合わせることで、研究者は、これらの悪意あるキャンペーンの多くが攻撃者所有のサーバーではなく、侵害されたクラウドまたはホスティングプラットフォーム上で稼働していることを示しました。
この分散型インフラはテイクダウンをより困難にし、法執行機関による妨害があってもエコシステムが存続することを可能にします。
専門家は、WordPress、cPanel、そしてクラウドダッシュボードの認証情報を含むインフォスティーラーログが地下市場で流通している限り、攻撃者は正規の企業資産を継続的に転用できると警告しています。
Hudson Rockは、侵害されたドメインの特定、感染の追跡、そして乗っ取られたインフラが将来の攻撃で再利用されるのを防ぐために、同社の無料APIツールの利用を推奨しています。
これらの発見は、2025年における重要な真実を浮き彫りにしています。最大の脆弱性はもはやソフトウェアコードではなく、世界のウェブを支える人間の行動と露出した認証情報にあるのです。
翻訳元: https://cyberpress.org/infostealer-infections/