WordPress sites hacked with fake Cloudflare DDoS alerts pushing malware
2022/08/20 BleepingComputer — WordPress サイトをハッキングし、偽の Cloudflare DDoS 保護スクリーンを表示するというキャンペーンが展開されている。それに騙されると、マルウェアが配布され、パスワード窃盗型トロイの木馬である NetSupport RAT/Raccoon Stealer のインストールにいたるという。DDoS (Distributed Denial of Service) 保護スクリーンは、インターネット上では一般的なものであり、不要なトラフィックでサイトを圧迫する、不正なリクエストを ping 送信するボットから身を守るものである。

インターネット・ユーザーたちは、これらの Welcome Screen を、悪意の攻撃者たちからオンライン・リソースを保護するための、短期的には避けられない厄介者とみなしている。しかし残念なことに、この馴染み深い画面は、マルウェア・キャンペーンにとって絶好の機会となっている。
偽の Cloudflare プロンプトを介したマルウェア
Sucuri のレポートによると、保護が不十分な WordPress サイトをハッキングした脅威アクターは、高度に難読化された JavaScript ペイロードを追加し、偽の Cloudflare DDoS 保護スクリーンを表示するとのことだ。
以下の画面のように、DDoS 保護スクリーンを回避したい訪問者に対して、ボタンのクリックが要求される。そして、訪問者がボタンをクリックすると、DDoS 検証を回避するために必要なツールに見せかけた、security_install.iso ファイルがコンピュータにダウンロードされる。

その後に、被害者は、DDOS GUARD というアプリに見せかけた security_install.iso を開くことになり、表示されたコードを入力するように指示される。

被害者が security_install.iso を開くと、security_install.exe というファイルが表示される。しかし、このファイルの実体は、debug.txt ファイル内のコマンドで、 PowerShell を実行する Windows ショートカットである。

Source: BleepingComputer
それにより、一連のスクリプトが実行され、サイトを表示するために必要な偽の DDoS コードが表示される。そして、最近の悪意のキャンペーンで広く使用されている、リモート・アクセス型トロイの木馬である NetSupport RAT がインストールされる。さらに、このスクリプトは、パスワード窃取型のトロイの木馬 Raccoon Stealer をダウンロードし、デバイス上で起動させる。

Raccoon Stealer は、2022年6月に活動を再開し、その作成者はサイバー犯罪者に対して、2番目のメジャーバージョンをサブスクリプション・モデルで提供するようになった。
Raccoon 2.0 は、Web ブラウザーに保存された、パスワード/Cookie/自動入力データ/クレジットカード情報/各種の暗号通貨ウォレットなどを標的とし、ファイルの抽出やデスクトップの撮影などを行う。
攻撃から身を守るには
Sucuri によると、各種の WordPress サイトは、このキャンペーンにおける最も一般的な感染ポイントとなる。したがって、管理者は WordPress のテーマファイルを確認する必要があるとのことだ。

さらに、ファイル整合性監視システムを採用して、JavaScript インジェクションが発生するときに検知し、自身のサイトが RAT 配布ポイントにならないよう注意する必要がある。
その一方で、インターネット・ユーザーは、ブラウザの厳密なスクリプト・ブロック設定を有効にすることで、このような脅威から身を守ることが可能だ。しかし、その場合には、ほぼ全てのサイトにおいて、いくつかの機能が損なわれることになる。
最後になるが、なんらかの ISO ファイルのダウンロードと、DDoS における攻防は無関係である。したがって、たとえ不注意で、危険なファイルをダウンロードしたとしても、そのコンテンツを解凍/実行しななければ問題は生じない。
この脅威アクターに侵害されてしまった Web サイトは、偽の Cloudflare DDoS 保護スクリーンを表示するため、それを邪魔だと感じるビジターは、画面から消すためのアクション (クリック) をとりますが、そこからマルウェア感染が始まるというわけです。そして、感染させたビジターの PC から、さまざまな個人情報を抜き取っていくというわけです。この記事では、偽の Cloudflare が使われていますが、このようにビジターのアクションを求めるインターフェイスは、たとえば消したい広告など、他にも多々あります。たまたまたどり着いたサイトで、怪しげなアクションを求められたときには、触らずに退散したほうが安心ですね。

You must be logged in to post a comment.