-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
6,000超のWordPressサイトに、スティーラー配布する悪性プラグインがインストールされる
BleepingComputer – October 21, 2024
6,000を超える数のWordPressサイトがハッキングされ、キャンペーン「ClearFake/ClickFix」の一環として悪意あるプラグインがインストールされているとGoDaddyの研究者が報告。これらのプラグインは、偽のソフトウェアアップデートプロンプトやエラーメッセージを表示させ、騙されてこれをクリックしたユーザーをスティーラーマルウェアに感染させるために使われるという。
ClearFakeは2023年から実施され始めたキャンペーンで、侵害されたWebサイト上に偽のWebブラウザアップデートバナーを表示し、ユーザーにクリックさせることでスティーラーを配布しようとするもの。これに関連して2024年に登場したのがClickFixで、こちらのキャンペーンではソフトウェアのエラーに関するメッセージを表示させ、修正プログラムに見せかけてPowerShellスクリプトを配布。この実行によってスティーラーをダウンロード・インストールさせる手法が用いられる。
※ClearFakeおよびClickFixの関連記事:
GoDaddyの研究者Denis Sinegubko氏の報告によれば、ClearFake/ClickFixに関与する脅威アクターらが6,000超のWordPressサイトを侵害し、さまざまな有害プラグインをインストールしてスティーラー配布のための偽アラートを表示させているという。WordPressサイトの侵害には、管理者の盗難クレデンシャル(認証情報)が利用されている模様。これらのクレデンシャルを使ったログインはログインページからではなく、単一のPOST HTTPリクエストによって行われることから、アクターらはすでに入手済みのクレデンシャルを使って自動でログインおよびプラグインのインストールを実施しているものとみられる。盗難クレデンシャルの入手方法は不明だが、おそらく過去に実施されたブルートフォース攻撃やフィッシングを通じて、あるいはスティーラーマルウェアを通じて入手されたものだろうと研究者は指摘している。
Sinegubko氏によれば、2024年6月から9月までの期間において、ClearFake/ClickFixのキャンペーンでの使用が観測されているプラグインは以下の通り。
- LiteSpeed Cache Classic
- Wordfence Security Classic
- Custom CSS Injector
- Custom Footer Generator
- Custom Login Styler
- MonsterInsights Classic
- Search Rank Enhancer
- Dynamic Sidebar Manager
- SEO Booster Pro
- Easy Themes Manager
- Google SEO Enhancer
- Form Builder Pro
- Rank Booster Pro
- Quick Cache Cleaner
- Admin Bar Customizer
- Responsive Menu Builder
- Advanced User Manager
- SEO Optimizer Pro
- Advanced Widget Manage
- Simple Post Enhancer
- Content Blocker
- Social Media Integrator
上記に加え、Sucuriの研究者は「Universal Popup Plugin」という偽プラグインもこのキャンペーンで使われていると指摘している。これらのプラグインは侵害されたサイトのHTMLへ悪性JavaScriptスクリプトを注入。このスクリプトは、ロードされるとさらに別の悪性JavaScriptファイルをロードし、その後このファイルによってClearFakeまたはClickFixのスクリプトがロードされ、偽のバナーが表示されるという。
WordPressサイトの運営者は、サイト訪問者から偽のアラートが表示されている等の報告を受けた場合、速やかにインストール済みのプラグインの一覧をチェックし、自らインストールした覚えのないものについては削除する必要がある。また、未知のプラグインが見つかった場合には即座に管理者ユーザー全員のパスワードをリセットし、固有なものへ変更することが推奨される。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
