コンテンツにスキップするには Enter キーを押してください

WordPressの偽セキュリティプラグインが攻撃者にリモート管理アクセスを可能にする

投稿日 2025年5月2日

Image

サイバーセキュリティ研究者は、WordPressサイトを標的とし、マルウェアをセキュリティプラグインとして偽装する新たなキャンペーンを明らかにしました。

“WP-antymalwary-bot.php”という名前のプラグインは、アクセスを維持し、管理ダッシュボードから自身を隠し、リモートコードを実行するためのさまざまな機能を備えています。

「コマンド&コントロール(C&C)サーバーに報告することができるピング機能や、他のディレクトリにマルウェアを拡散し、広告を提供する悪意のあるJavaScriptを注入するコードも含まれています」とWordfenceのMarco Wotschkaは報告しています。

2025年1月末のサイトクリーンアップ作業中に初めて発見されたこのマルウェアは、その後、新しいバリアントとともに野生で検出されています。プラグインに使用されている他の名前は以下の通りです –

  • addons.php
  • wpconsole.php
  • wp-performance-booster.php
  • scr.php

インストールしてアクティブ化されると、脅威アクターに管理者アクセスを提供し、REST APIを利用して、悪意のあるPHPコードをサイトテーマのヘッダーファイルに注入したり、人気のキャッシングプラグインのキャッシュをクリアすることでリモートコード実行を容易にします。

マルウェアの新しいバージョンには、コード注入の処理方法に顕著な変更が含まれており、広告やスパムを提供するために別の侵害されたドメインにホストされたJavaScriptコードを取得します。

また、プラグインは悪意のあるwp-cron.phpファイルを補完しており、プラグインディレクトリから削除された場合でも、次回のサイト訪問時にマルウェアを自動的に再作成および再アクティブ化します。

マルウェアを配信するためにサイトがどのように侵害されているのか、または誰がキャンペーンの背後にいるのかは現在不明です。しかし、ロシア語のコメントやメッセージの存在は、脅威アクターがロシア語を話す可能性が高いことを示しています。

この発表は、Sucuriが詳細した、”italicfonts[.]org”という名前の偽フォントドメインを使用して、チェックアウトページで偽の支払いフォームを表示し、入力された情報を盗み、攻撃者のサーバーにデータを流出させるウェブスキマーキャンペーンと同時に行われました。

ウェブサイトセキュリティ会社が調査したもう一つの「高度な多段階カード攻撃」では、Magento eコマースポータルをターゲットにしたJavaScriptマルウェアが、幅広い機密情報を収集するように設計されています。

「このマルウェアは、偽のGIF画像ファイル、ローカルブラウザのsessionStorageデータを利用し、悪意のあるリバースプロキシサーバーを使用してウェブサイトトラフィックを改ざんし、クレジットカードデータ、ログイン詳細、クッキー、その他の機密データを侵害されたウェブサイトから盗むことを容易にしました」とセキュリティ研究者のBen Martinは述べています

実際には、GIFファイルはリバースプロキシとして機能するPHPスクリプトであり、訪問者がチェックアウトページに到達した際に必要な情報を収集するために、受信リクエストをキャプチャします。

攻撃者はまた、少なくとも17のWordPressサイトにGoogle AdSenseコードを注入し、不要な広告を配信し、クリックごとまたはインプレッションごとに収益を上げることを目指していることが観察されています。

「彼らはあなたのサイトのリソースを使って広告を提供し続けようとしており、さらに悪いことに、あなた自身がAdSenseを使用している場合、あなたの広告収益を盗んでいる可能性があります」とセキュリティ研究者のPuja Srivastavaは述べています。「自分のGoogle AdSenseコードを注入することで、彼らが報酬を得るのです。」

それだけではありません。侵害されたウェブサイトで提供される欺瞞的なCAPTCHA認証が、ユーザーを騙してNode.jsベースのバックドアをダウンロードおよび実行させ、システム情報を収集し、リモートアクセスを許可し、SOCKS5プロキシを通じて悪意のあるトラフィックをトンネルするように設計されたNode.jsリモートアクセス型トロイの木馬(RAT)を展開することが判明しています。

この活動は、Trustwave SpiderLabsによって、Kongtuke(別名404 TDS、Chaya_002、LandUpdate808、TAG-124)と呼ばれるトラフィック配信システム(TDS)に起因しています。

「感染後にドロップされたJSスクリプトは、詳細なシステム偵察、リモートコマンドの実行、ネットワークトラフィックのトンネリング(SOCKS5プロキシ)、隠密で持続的なアクセスを維持する多機能バックドアとして設計されています」とセキュリティ研究者のReegun Jayapaulは述べています

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です