6,000超のWordPressサイトに、スティーラー配布する悪性プラグインがインストールされる

6,000超のWordPressサイトに、スティーラー配布する悪性プラグインがインストールされる

BleepingComputer – October 21, 2024

6,000を超える数のWordPressサイトがハッキングされ、キャンペーン「ClearFake/ClickFix」の一環として悪意あるプラグインがインストールされているとGoDaddyの研究者が報告。これらのプラグインは、偽のソフトウェアアップデートプロンプトやエラーメッセージを表示させ、騙されてこれをクリックしたユーザーをスティーラーマルウェアに感染させるために使われるという。

ClearFakeは2023年から実施され始めたキャンペーンで、侵害されたWebサイト上に偽のWebブラウザアップデートバナーを表示し、ユーザーにクリックさせることでスティーラーを配布しようとするもの。これに関連して2024年に登場したのがClickFixで、こちらのキャンペーンではソフトウェアのエラーに関するメッセージを表示させ、修正プログラムに見せかけてPowerShellスクリプトを配布。この実行によってスティーラーをダウンロード・インストールさせる手法が用いられる。

※ClearFakeおよびClickFixの関連記事：

GoDaddyの研究者Denis Sinegubko氏の報告によれば、ClearFake/ClickFixに関与する脅威アクターらが6,000超のWordPressサイトを侵害し、さまざまな有害プラグインをインストールしてスティーラー配布のための偽アラートを表示させているという。WordPressサイトの侵害には、管理者の盗難クレデンシャル（認証情報）が利用されている模様。これらのクレデンシャルを使ったログインはログインページからではなく、単一のPOST HTTPリクエストによって行われることから、アクターらはすでに入手済みのクレデンシャルを使って自動でログインおよびプラグインのインストールを実施しているものとみられる。盗難クレデンシャルの入手方法は不明だが、おそらく過去に実施されたブルートフォース攻撃やフィッシングを通じて、あるいはスティーラーマルウェアを通じて入手されたものだろうと研究者は指摘している。

Sinegubko氏によれば、2024年6月から9月までの期間において、ClearFake/ClickFixのキャンペーンでの使用が観測されているプラグインは以下の通り。

• LiteSpeed Cache Classic
• Wordfence Security Classic
• Custom CSS Injector
• Custom Footer Generator
• Custom Login Styler
• MonsterInsights Classic
• Search Rank Enhancer
• Dynamic Sidebar Manager
• SEO Booster Pro
• Easy Themes Manager
• Google SEO Enhancer
• Form Builder Pro
• Rank Booster Pro
• Quick Cache Cleaner
• Admin Bar Customizer
• Responsive Menu Builder
• Advanced User Manager
• SEO Optimizer Pro
• Advanced Widget Manage
• Simple Post Enhancer
• Content Blocker
• Social Media Integrator

上記に加え、Sucuriの研究者は「Universal Popup Plugin」という偽プラグインもこのキャンペーンで使われていると指摘している。これらのプラグインは侵害されたサイトのHTMLへ悪性JavaScriptスクリプトを注入。このスクリプトは、ロードされるとさらに別の悪性JavaScriptファイルをロードし、その後このファイルによってClearFakeまたはClickFixのスクリプトがロードされ、偽のバナーが表示されるという。

WordPressサイトの運営者は、サイト訪問者から偽のアラートが表示されている等の報告を受けた場合、速やかにインストール済みのプラグインの一覧をチェックし、自らインストールした覚えのないものについては削除する必要がある。また、未知のプラグインが見つかった場合には即座に管理者ユーザー全員のパスワードをリセットし、固有なものへ変更することが推奨される。

無料配布中レポート

各種レポートを無料配布中！バナー画像よりダウンロード可能です。