WordPress logo on a red background

WordPressサイトがハッキングされ、偽のソフトウェア・アップデートやエラーを表示する悪意のあるプラグインをインストールし、情報を盗むマルウェアを押し付けている。

ここ数年、情報窃取マルウェアは、盗まれた認証情報がネットワーク侵入やデータ窃取に使用されることで、世界中のセキュリティ擁護者にとって災いの種となっています。

2023年以降、ClearFakeと呼ばれる悪意のあるキャンペーンが、情報窃取マルウェアを配布する侵害されたWebサイトに偽のWebブラウザ更新バナーを表示するために使用されています。

2024年には、「ClickFix」と呼ばれる新たなキャンペーンが登場しました。このキャンペーンは、「ClearFake」と多くの類似点がありますが、その代わりに、修正プログラムを含むソフトウェアのエラーメッセージであるかのように装います。しかし、これらの「修正プログラム」はPowerShellスクリプトであり、実行されると情報窃取マルウェアがダウンロードされ、インストールされます。

An example ClickFix overlay pretending to be a Chrome error
Chromeのエラーを装ったClickFixのオーバーレイの例
ソースは こちら:

ClickFixキャンペーンは今年ますます一般的になっており、Google ChromeGoogle Meet Conference、Facebook、さらにはキャプチャページの偽エラーを示すバナーを表示するために、脅威行為者がサイトを侵害します。

悪意のあるWordPressプラグイン

先週、GoDaddyは、ClearFake/ClickFixの脅威行為者が6,000以上のWordPressサイトに侵入し、これらのキャンペーンに関連する偽の警告を表示する悪意のあるプラグインをインストールしたことを報告しました。

「GoDaddyセキュリティチームは、偽のWordPressプラグインを介して配布されるClickFix(ClearFakeとしても知られている)の偽ブラウザアップデートマルウェアの新しい亜種を追跡しています」とGoDaddyセキュリティ研究者Denis Sinegubkoは説明しています。

「これらの一見正当なプラグインは、ウェブサイト管理者には無害に見えるように設計されていますが、エンドユーザーに偽のブラウザ更新プロンプトを配信する悪意のあるスクリプトが埋め込まれています。

悪意のあるプラグインは、Wordfense SecurityやLiteSpeed Cacheなど、正規のプラグインに似た名前を使用しているほか、一般的なでっち上げの名前を使用しているものもある。

2024年6月から9月にかけてこのキャンペーンで見られた悪質なプラグインのリストは以下の通り:

LiteSpeed Cache Classic カスタムCSSインジェクター
MonsterInsights Classic カスタムフッタージェネレーター
Wordfence Security Classic カスタムログインスタイラー
検索順位エンハンサー ダイナミック・サイドバー・マネージャー
SEOブースタープロ イージーテーママネージャー
Google SEO エンハンサー フォームビルダープロ
ランクブースターPro クイックキャッシュクリーナー
管理バーカスタマイザー レスポンシブメニュービルダー
アドバンスユーザーマネージャー SEOオプティマイザープロ
高度なウィジェット管理 シンプルポストエンハンサー
コンテンツブロッカー ソーシャルメディア・インテグレーター

また、ウェブサイトセキュリティ会社のSucuriは、「Universal Popup Plugin」という偽のプラグインもこのキャンペーンの一部であると指摘している。

インストールされると、悪意のあるプラグインは、サイトのHTMLに悪意のあるJavaScriptスクリプトを注入するために亜種に応じてWordPressの様々なアクションをフックします。

Injected JavaScript script
注入された JavaScript スクリプト
ソース:GoDaddy

このスクリプトが読み込まれると、Binance Smart Chain (BSC)スマートコントラクトに保存されている悪意のあるJavaScriptファイルをさらに読み込もうとし、ClearFakeまたはClickFixスクリプトを読み込んで偽のバナーを表示します。

Fake Google update banner
偽のGoogleアップデートバナー
ソースはこちら:Randy McEoin

Sinegubkoによって分析されたウェブサーバーのアクセスログから、脅威行為者は盗んだ管理者認証情報を利用してWordPressサイトにログインし、自動化された方法でプラグインをインストールしているようだ。

下の画像からわかるように、脅威行為者はサイトのログインページに最初にアクセスするのではなく、1回のPOST HTTPリクエストでログインしています。これは、認証情報がすでに取得された後に自動化された方法で行われていることを示しています。

脅威行為者はログインすると、悪意のあるプラグインをアップロードしてインストールします。

Access logs showing how WordPress site is compromised
WordPressサイトがどのように侵害されたかを示すアクセスログ
ソースはこちら:GoDaddy

脅威行為者がどのようにして認証情報を入手しているかは不明だが、研究者は、以前の総当たり攻撃、フィッシング、情報窃取マルウェアを通じた可能性があると指摘している。

WordPressを運営していて、訪問者に偽の警告が表示されるという報告を受けている場合は、直ちにインストールされているプラグインのリストを調べ、自分でインストールしていないものはすべて削除してください。

未知のプラグインを見つけた場合は、管理者ユーザーのパスワードも即座にリセットし、サイトでのみ使用される固有のパスワードに変更する必要があります。