広範なサイバー犯罪キャンペーンが正当なWordPressウェブサイトを侵害し、訪問者を情報盗聴マルウェアに感染させているとして、脅威調査機関のRapid 7が警告を発しています。
このグローバル作戦は250以上のウェブサイトを侵害しており、地域ニュース媒体、地元ビジネスサイト、およびUS上院候補者の公式ウェブページが含まれています。
攻撃者の目的は、正当なウェブサイトに対するユーザーの信頼を悪用して、秘密裏に情報盗聴マルウェアに感染させることです。その目的はログイン認証情報や財務情報を含む機密データの盗取です。
このキャンペーンは2025年12月から活動しています。Rapid7のブログポストで、研究者たちは正当なウェブサイトの悪用が「組織と個人の両方にとってこの脅威を危険にする」と警告しています。
感染したサイトにアクセスすると、ユーザーにはCloudflare Captchaページのように見えるものが表示されます。これは多くのウェブサイトで見かけるものかもしれません。しかし、このシナリオではCaptchaページは感染プロセスを開始させるために設計された説得力のある偽造品です。
ソーシャルエンジニアリング用の偽造CaptchaおよびClickfix攻撃
攻撃者はClickFixを展開しており、これはソーシャルエンジニアリング技術であり、偽の検証メッセージを含むダイアログボックスを使用して、ユーザーをだまし悪意のあるコードを自分のデバイスにコピー、貼り付け、実行させるものです。
このキャンペーンでは、偽造Captchaはユーザーに追加の検証という名目でWindows実行コマンドボックスを開き、コマンドを貼り付けるよう指示しています。このコマンドはマシンへのマルウェアのダウンロードとインストールの多段階プロセスを開始させます。
侵害されたWordPressサイト経由で配信される情報盗聴マルウェアペイロードには、Vidar Stealer、Impure Stealer、Vodka Stealer、Double Donutが含まれており、後者はClickFixキャンペーンの一部として使用されることが多いです。
どのペイロードが配備されても、目的は変わりません:被害者からユーザー名、パスワード、デジタルウォレット、その他の機密情報を盗むことです。
これらの盗まれた認証情報がこのキャンペーンの背後にいる者によって使用されるか、それとも地下フォーラムで他のサイバー犯罪者に売却されるかにかかわらず、これらの認証情報はその後、金銭詐欺に使用されるか、または組織に対してさらにターゲット化された攻撃を実施するために使用される可能性があります。
「完全に無関連なWordPressインスタンス全体に及ぶ大規模な侵害の実行は、脅威アクターによる高度な自動化を示唆しており、長期的な組織的犯罪活動の一部である可能性が高い」とRapid7の研究者は警告しています。
攻撃者がターゲットのWordPressサイトをどのように侵害したかは不明ですが、Rapid 7はWordPressプラグインまたはテーマの脆弱性の悪用、以前に盗まれた認証情報の悪用、またはブルートフォース攻撃を通じてアクセスされた公開されている管理者インターフェースにリンクしている可能性があると提唱しています。
Rapid7はWordPress管理者に以下のアドバイスを出しています:
- すべてのソフトウェアコンポーネントを定期的に確認し、古いバージョンについてレビューし、脆弱性スキャンを実施して弱点を特定し軽減する
- 管理アクセスに長く予測不可能なパスワードを使用し、監査済みセキュリティと利便性のためにパスワードマネージャーの使用を検討する
- 管理アクセスに対して2番目の認証要素を設定する
- 認証情報を保存するデバイス(ブラウザに保存されたログインなど、ウェブサイトの管理に使用可能)上で信頼できないコードの実行を避ける
Rapid 7は、上院候補者の公式ウェブページが侵害されたことについて米国当局に通知したと述べています。
Infosecurityはコメント求めてWordPressに連絡しました。
翻訳元: https://www.infosecurity-magazine.com/news/wordpress-clickfix-infostealer/
