最新のソーシャルエンジニアリング攻撃は、このシンプルな戦術が急速に増加する脅威となっていることを示しています。
Gorodenkoff | shutterstock.com
サイバー犯罪者は、新しいInfostealer マルウェアを拡散させるために、侵害されたウェブサイトとますます高度なソーシャルエンジニアリング的なおとり手法を組み合わせています。これはClickFixとして知られており、極めて効果的です。1つのキャンペーンで、12カ国にある250以上のWordPressウェブサイトが感染しました。
このキャンペーンは検出されにくいメモリ内で実行される悪意あるプログラムにつながりますが、マイクロソフトは並行して、従来の実行ダイアログではなくWindows Terminalを使用してマルウェアを実行する別の攻撃も観察しました。
このWordPress キャンペーンは2025年12月から活動しており、訪問者に偽のCloudflare CAPTCHAクエリで直面させています。セキュリティ企業Rapid7の研究者が報告しています。侵害されたWordPressウェブサイトには、地域的なニュースポータル、地元企業のウェブサイト、さらには米国の上院議員候補者の公式ウェブサイトが含まれています。
「全く独立したWordPress インスタンスに対する大規模な攻撃は、攻撃者による高度な自動化レベルを示しており、おそらく組織的で長期的な犯罪行為の一部です」とレポートに記載されています。
3つのよく偽装されたペイロード
技術的には、WordPress ClickFix キャンペーンは3つの別個のInfostealer ペイロード(そのうち2つは以前未知)を配信し、2025年7月から明らかに存在するドメイン インフラストラクチャを利用しています。
攻撃者は、ブラウザにWordPress管理者クッキーがない場合にのみアクティブになるパフォーマンス最適化として、注入されたJavaScriptコードを偽装しています。このように、マルウェアはウェブサイト管理者から隠されるはずです。
このスクリプトは、14の攻撃者が管理するドメインのいずれかから偽のCloudflare CAPTCHAクエリを取得し、すべて同じIPアドレスを指しています。偽のCAPTCHAクエリは訪問者にコマンドをコピーしてWindows実行ダイアログに貼り付けるよう促します。
デジタルポイズンドーナッツ
悪意のあるコマンドは、難読化されたJavaScriptおよびPowerShellコードで構成されており、いわゆるDoubleDonutローダーをメモリに起動させます。このローダーは、正規のWindowsプロセスに直接悪意あるコードを注入します。
「マルウェアチェーンはほぼ完全にメモリ内で、検出されにくいWindowsプロセスのコンテキスト内で実行され、従来のファイルベースの検出を無効にしています」とRapid7の専門家は説明しています。
侵害されたウェブサイトは異なるWordPress バージョンまたはプラグインを使用しているため、研究者は攻撃者が弱い認証情報を悪用するか、複数の脆弱性のエクスプロイトを組み合わせている可能性があると考えています。
Vidar Stealer バリアント使用
DoubleDonutローダーは、よく知られているInfostealer Vidar Stealerの新しいバリアントを配布しているのが観察されました。これは、Command-and-Controlの構成と動的API解決を決定するために、いわゆるDead-Drop-Resolver技術を使用しています。
さらに、研究者は2つの未記録のInfostealerを発見しました。そのうち1つは.NETで書かれており、もう1つはC++で書かれています。Rapid7によってImpure StealerとVodkaStealerと名付けられたプログラムは、どちらも検出されないための特別な技術を使用しています。これには、異常なデータエンコーディング、通信の対称暗号化、またはシステムおよび時間ベースの確認を使用したサンドボックス検出が含まれます。
おとり手法の進化
ClickFixの戦術も進化しています。マイクロソフトの脅威インテリジェンスチームは、従来の実行ダイアログ(Win+R)がコマンドを実行するためにWindows Terminal アプリ(Win+X)に置き換えられているキャンペーンを特定しました。
この過程で、よく知られているLumma Stealerと遠隔管理ソフトウェアNetSupport RATが配布されました。別の攻撃チェーンは、MuSBuildを介したVBScriptと、認証情報収集コードをダウンロードするためのEtherhidingという技術を利用しました。
国家と民間の犯罪者に人気
セキュリティ企業ESETの推定では、昨年のClickFix攻撃は517パーセント増加しています。使用されるバリアントのCrashFix、ConsentFix、PhantomCaptchaは、異なるおとり手法と配信メカニズムで動作するはずです。
この基本的なソーシャルエンジニアリング戦術は非常に効果的であることが証明されているため、北朝鮮のLazarusグループ、イランのMuddyWater グループ、ロシアのAPT28などの国家グループによってさえ採用されています。1月には、Sekoia の研究者が、IClickFixという別のClickFix フレームワークが2024年以来3,800以上のWordPressウェブサイトに注入されていると報告しました。
行動推奨事項
WordPressウェブサイトの運営者は、管理者ログイン領域が公開アクセス不可能であることを確認する必要があります。Rapid7によると、ほぼすべてのウェブサイトでこれは当てはまりませんでした。
さらに、セキュリティ企業は侵害の指標とYARA検出ルールを公開GitHubリポジトリで公開しています。(tf)
翻訳元: https://www.csoonline.com/article/4146782/clickfix-treibt-neue-infostealer-kampagnen-an.html
