WordPressとMicrosoftのWindows Terminalに関わる最近のソーシャルエンジニアリングスキームは、この比較的基本的なタクティックが増加する脅威であることを示しています。
サイバー犯罪者は、侵害されたウェブサイトをますます洗練されたClickFixソーシャルエンジニアリング誘導と組み合わせて、新しいインフォスティーラーマルウェアを配信しており、1つのキャンペーンだけで12か国にわたる250以上のWordPressサイトを武装化しています。
このキャンペーンは隠密なメモリ内ペイロードにつながり、一方、Microsoftが検出した別の攻撃は、従来の実行ダイアログの代わりにWindows Terminalをペイロード実行に標的にしています。
WordPressキャンペーンは2025年12月以来活動中であり、訪問者に偽のCloudflare CAPTCHA検証チャレンジで標的にします。セキュリティ企業Rapid7の研究者は今週のレポートでこれを明かしました。侵害されたWordPressウェブサイトは、地域のニュースアウトレット、ローカルビジネスウェブサイト、さらには米国上院候補者の公式ウェブページまで広がっています。
「完全に無関係なWordPressインスタンス全体での大規模な侵害実行は、脅威アクターによる高度な自動化レベルを示唆しており、組織化された長期的な犯罪努力の一部である可能性があります」と研究者は述べています。
検出回避
WordPressのClickFixキャンペーンは、3つの異なるインフォスティーラーペイロード(そのうち2つは以前未知)を配信し、2025年7月以来セットアップされたように見えるドメインインフラストラクチャを使用しています。
攻撃者は、注入されたJavaScriptスニペットをパフォーマンスオプティマイザーとして偽装し、訪問者のブラウザがWordPress管理者クッキーを持っていない場合にのみトリガーされます。このテクニックは、ウェブサイト管理者からの悪意のある動作を隠すことを目的としています。
スクリプトは、14人の攻撃者管理ドメインのうちの1つから偽のCloudflare CAPTCHA検証チャレンジをフェッチし、すべて単一のIPアドレスに解決されます。偽のCAPTCHAは、訪問者にWindows実行ダイアログにコマンドをコピーして貼り付けるよう指示します。
不正なコマンドは、難読化されたJavaScriptおよびPowerShellコードで構成され、DoubleDonut Loaderというメモリ内シェルコードローダーを起動します。ローダーは、ペイロードを正当なWindowsプロセスに直接注入し、反映されたコード読み込みを使用します。
「マルウェアチェーンはほぼ完全にメモリ内で、および控え目なWindowsプロセスのコンテキスト内で実行され、従来のファイルベースの検出を無効にしています」とRapid7は述べています。
侵害されたサイトは同じ脆弱なWordPressバージョンまたはプラグインを共有していませんでした。これは、攻撃者が弱い認証情報を悪用しているか、複数の脆弱性のエクスプロイトを使用している可能性があることを示唆しています。
新しいペイロード
DoubleDonut Loaderは、有名なインフォスティーラーであるVidar Stealerの新しいバリアントを配信し、dead dropリゾルバテクニックを使用して、コマンドアンドコントロール設定と動的APIリゾリューションを取得することが観察されました。
Vidarに加えて、2つの以前に文書化されていないインフォスティーラーが観察されました。1つは.NETで書かれており、もう1つはC++で書かれています。Rapid7はこれらの新しいプログラムにImpure StealerおよびVodkaStealerという名前を付けており、両者は検出回避テクニック(非標準データエンコーディングおよびコマンドアンドコントロール通信用の対称暗号化、またはシステムおよび時間ベースのチェックを使用したサンドボックス環境検出を含む)を使用しています。
ClickFixは増加する脅威です
新しいペイロードに加えて、攻撃者はClickFixルアーも進化させています。Microsoftの脅威インテリジェンスチームが識別した別のキャンペーンは、一般的なWindows実行ダイアログ(Win+R)をWindows Terminalアプリ(Win+X)に置き換えてコマンド実行を行いました。
そのキャンペーンは、有名なLumma StealerおよびNetSupport RATを配信しました。2番目のペイロードは、etherhidingと呼ばれるテクニックを使用した、MSBuildを通じて実行されたVBScriptチェーンで、認証情報ハーベスティングコードをダウンロードしました。
セキュリティ企業ESETは、ClickFix攻撃が昨年517%急増し、CrashFix、ConsentFix、PhantomCaptchaとダブ付けられた複数のバリエーションが、それぞれ異なるルアーと配信メカニズムを備えていると推定しました。
この基本的なソーシャルエンジニアリングタクティックは非常に効果的であることが証明されているため、北朝鮮のLazarus groupやイランのMuddyWater、ロシアのAPT28などの国家行為者でさえもこれを採用しています。1月に、Sekoiaの研究者はIClickFixというダブ付けられた別のClickFixフレームワークが2024年以来3,800以上のWordPressサイトに注入されていたと報告しました。
WordPressサイト運営者は、admin管理パネルが公開されていないことを確認する必要があります。Rapid7は、発見したキャンペーンで侵害されたほぼすべてのサイトがアクセス可能なadminページを持っていたことに注目しました。
Rapid7は、その公開GitHubリポジトリで侵害の指標とYARA検出ルールを公開しました。
