WordPress ハッキングに御用心:偽の Cloudflare DDoS 警告がマルウェアを配布

WordPress sites hacked with fake Cloudflare DDoS alerts pushing malware

2022/08/20 BleepingComputer — WordPress サイトをハッキングし、偽の Cloudflare DDoS 保護スクリーンを表示するというキャンペーンが展開されている。それに騙されると、マルウェアが配布され、パスワード窃盗型トロイの木馬である NetSupport RAT/Raccoon Stealer のインストールにいたるという。DDoS (Distributed Denial of Service) 保護スクリーンは、インターネット上では一般的なものであり、不要なトラフィックでサイトを圧迫する、不正なリクエストを ping 送信するボットから身を守るものである。

インターネット・ユーザーたちは、これらの Welcome Screen を、悪意の攻撃者たちからオンライン・リソースを保護するための、短期的には避けられない厄介者とみなしている。しかし残念なことに、この馴染み深い画面は、マルウェア・キャンペーンにとって絶好の機会となっている。

偽の Cloudflare プロンプトを介したマルウェア

Sucuri のレポートによると、保護が不十分な WordPress サイトをハッキングした脅威アクターは、高度に難読化された JavaScript ペイロードを追加し、偽の Cloudflare DDoS 保護スクリーンを表示するとのことだ。

以下の画面のように、DDoS 保護スクリーンを回避したい訪問者に対して、ボタンのクリックが要求される。そして、訪問者がボタンをクリックすると、DDoS 検証を回避するために必要なツールに見せかけた、security_install.iso ファイルがコンピュータにダウンロードされる。

Fake DDoS protection screen
偽の DDoS 保護画面 (Sucuri)

その後に、被害者は、DDOS GUARD というアプリに見せかけた security_install.iso を開くことになり、表示されたコードを入力するように指示される。

Verification code prompt and generator
確認コードのプロンプト (上) とジェネレーター (下) (Sucuri)

被害者が security_install.iso を開くと、security_install.exe というファイルが表示される。しかし、このファイルの実体は、debug.txt ファイル内のコマンドで、 PowerShell を実行する Windows ショートカットである。

Contents of the security_install.iso file
security_install.iso ファイルの内容
Source: BleepingComputer

それにより、一連のスクリプトが実行され、サイトを表示するために必要な偽の DDoS コードが表示される。そして、最近の悪意のキャンペーンで広く使用されている、リモート・アクセス型トロイの木馬である NetSupport RAT がインストールされる。さらに、このスクリプトは、パスワード窃取型のトロイの木馬 Raccoon Stealer をダウンロードし、デバイス上で起動させる。

Attack chain of the fake Cloudflare DDoS protection
偽の Cloudflare DDoS 防御の攻撃チェーン (Sucuri)

Raccoon Stealer は、2022年6月に活動を再開し、その作成者はサイバー犯罪者に対して、2番目のメジャーバージョンをサブスクリプション・モデルで提供するようになった。

Raccoon 2.0 は、Web ブラウザーに保存された、パスワード/Cookie/自動入力データ/クレジットカード情報/各種の暗号通貨ウォレットなどを標的とし、ファイルの抽出やデスクトップの撮影などを行う。

攻撃から身を守るには

Sucuri によると、各種の WordPress サイトは、このキャンペーンにおける最も一般的な感染ポイントとなる。したがって、管理者は WordPress のテーマファイルを確認する必要があるとのことだ。

Malicious code found in jquery.min.js
jquery.min.js (Sucuri) で見つかった悪意のあるコード (Sucuri)

さらに、ファイル整合性監視システムを採用して、JavaScript インジェクションが発生するときに検知し、自身のサイトが RAT 配布ポイントにならないよう注意する必要がある。

その一方で、インターネット・ユーザーは、ブラウザの厳密なスクリプト・ブロック設定を有効にすることで、このような脅威から身を守ることが可能だ。しかし、その場合には、ほぼ全てのサイトにおいて、いくつかの機能が損なわれることになる。

最後になるが、なんらかの ISO ファイルのダウンロードと、DDoS における攻防は無関係である。したがって、たとえ不注意で、危険なファイルをダウンロードしたとしても、そのコンテンツを解凍/実行しななければ問題は生じない。

この脅威アクターに侵害されてしまった Web サイトは、偽の Cloudflare DDoS 保護スクリーンを表示するため、それを邪魔だと感じるビジターは、画面から消すためのアクション (クリック) をとりますが、そこからマルウェア感染が始まるというわけです。そして、感染させたビジターの PC から、さまざまな個人情報を抜き取っていくというわけです。この記事では、偽の Cloudflare が使われていますが、このようにビジターのアクションを求めるインターフェイスは、たとえば消したい広告など、他にも多々あります。たまたまたどり着いたサイトで、怪しげなアクションを求められたときには、触らずに退散したほうが安心ですね。

%d bloggers like this: