サイバー犯罪者は米国上院議員候補者のキャンペーンサイトを含む正当なWordPressサイトを静かに侵害し、グローバルな情報盗聴マルウェア作戦の発射台に変えた。
Rapid7のセキュリティ研究者によると、このスキームは侵害されたサイトに悪意のあるコードを注入することで機能し、訪問者に説得力のある偽のCloudflare CAPTCHAページを提供します。単にロボットではないことを証明する代わりに、プロンプトはユーザーにマシン上でコマンドをコピーして実行するよう指示します。これは最終的に認証情報盗聴マルウェアのダウンロードをトリガーするステップです。
このトリックが機能するのは、攻撃が完全に正当に見えるウェブサイトで始まるからです。訪問者は別のCloudflareボットチェックをクリアしているだけだと思っています。現代のウェブに散らばっているようなチェックですが、実際には自分のマシンに感染させるための最初のステップを通じて説明されています。
このテクニックは現在よく知られているClickFixソーシャルエンジニアリング戦術の一部であり、攻撃者はシステム上の何かを修正または検証するという名目の下、被害者にコマンドを自ら実行するよう説得します。
感染したサイトは様々な組織にまたがっています。Rapid7によると、侵害されたページには地域メディア、中小企業のウェブサイト、および「1つのケースでは米国上院議員候補者の公式ウェブページさえ」含まれています。同社は米国当局に問題を調査してクリーンアップするよう通知したと述べています。
さらに、このアクティビティのスコープは、これが誰かが1つずつウェブサイトに手動で侵入しているのではないことを示唆しています。
「完全に無関係なWordPressインスタンス全体での大規模な侵害の実行は、脅威アクターによる高度な自動化のレベルを示唆しており、組織化された長期的な犯罪活動の一部である可能性があります」と、Rapid7セキュリティ研究者のMilan Spinkaは述べています。
被害者が偽の検証ページの指示に従うと、攻撃チェーンは情報盗聴マルウェアをインストールできます。これは感染したマシンから有用なデータを静かに取得するために設計されたマルウェアです。これは通常、ブラウザに保存された認証情報、認証クッキー、暗号通貨ウォレット情報、およびデジタル略奪品の他のビットを含みます。
盗まれた認証情報はオリジナルの攻撃者に長く留まることはめったにありません。情報盗聴ログは定期的にパッケージ化され、サイバー犯罪マーケットプレイスで販売されます。他の犯罪者は、電子メールアカウント、企業システム、およびオンラインサービスへの既製のアクセスを購入でき、自分たちで侵入する必要がありません。
このキャンペーンは少なくとも2025年12月以来その現在の形で活動していますが、その背後にあるインフラストラクチャの一部(攻撃チェーンで使用されるドメイン登録を含む)は昨年の7月と8月にさかのぼります。
これまでのところ、Rapid7は、オーストラリア、ブラジル、カナダ、チェコ、ドイツ、インド、イスラエル、シンガポール、スロバキア、スイス、英国、米国を含む少なくとも12カ国全体で250以上の侵害されたウェブサイトを特定したと述べています。
侵害されたウェブサイトを配信メカニズムとして使用することで、オペレーターに有用なカモフラージュレイヤーを提供します。セキュリティツールとユーザーの両方は、新しく登録されたマルウェアサイトよりもよく知られたドメインをはるかに疑います。また、攻撃者はウェブサイトをハッキングされるほど不運な誰かの評判に便乗することができます。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/10/crooks_hijack_wordpress_sites/
