WordPress を標的とする次世代 ClickFix:キャッシュ・スマグリングでステルス性を向上

Hackers Exploit WordPress Sites to Power Next-Gen ClickFix Phishing Attacks

2025/10/08 TheHackerNews — WordPress サイトを標的とする悪質な JavaScript インジェクション攻撃キャンペーンについて、サイバー・セキュリティ研究者たちが注意を喚起している。この攻撃は、怪しいサイトへとユーザーをリダイレクトするよう設計されている。Sucuri の研究者 Puja Srivastava は、先週公開された分析の中で、「悪意のサイトへの訪問者は、偽の Cloudflare 認証のようなドライブ・バイ・マルウェアのコンテンツを挿入される」と述べている。

Sucuri が調査を開始したきっかけは、顧客の WordPress サイトの一つが、サイト訪問者に対して疑わしいサードパーティ製の JavaScript を提供していたことの発見にある。この攻撃者が、テーマ関連ファイル “functions.php” に悪意の変更を加えていたことが、最終的に特定されたという。

“functions.php” に挿入されたコードには、Google 広告への参照が組み込まれているが、検出を回避するためのものと思われる。しかし、実際には、この問題はリモートローダーとして機能し、ドメイン “brazilc[.]com” に HTTP POST リクエストを送信する。このリクエストに応答するのは、2つのコンポーネントを含む動的なペイロードである。

  • リモート・サーバ “porsasystem[.]com” にホストされている JavaScript ファイルは、この記事の執筆時点で 17 の Web サイトで参照されており、サイト・リダイレクトを実行するコードを含んでいる。
  • 1×1 ピクセルの隠し “iframe” を作成する JavaScript コードは、この “iframe” 内に “cdn-cgi/challenge-platform/scripts/jsd/main.js” などの正当な Cloudflare アセットを装うコードを挿入する。それは、ボット検出およびチャレンジ・プラットフォームの中核を成す API である。

ドメイン “porsasystem[.]com” は、Kongtuke (別名 404 TDS/Chaya_002/LandUpdate808) と呼ばれる TDS (traffic distribution system) の一部だとフラグ付けされている。

2025年9月19日に Mastodonで、monitorsg というアカウントが共有した情報によると、感染経路は侵害されたサイトへのユーザー・アクセスから始まり、”porsasystem[.]com/6m9x.js” が実行されて “porsasystem[.]com/js.php” への誘導が行われ、最終的に ClickFix などのマルウェアを配布するページへと誘導される。

これらの調査結果が示すのは、WordPress サイトの保護および、最新の状態に保たれたプラグイン/テーマ/ソフトウェアの重要性である。さらに、強力なパスワードを強制し、サイト・スキャンによる異常や予期しない管理者アカウントを検出し、マルウェアを検出/削除した後の継続的な検証の必要性を示している。

IUAM ClickFix ジェネレータを用いた ClickFix ページの作成

この情報が公開されたのは、Palo Alto Networks Unit 42 が IUAM ClickFix ジェネレータと呼ばれるフィッシング・キットの詳細を発表したことを受けてのことだ。このキットは、ClickFix ソーシャル・エンジニアリング手法を介してユーザーにマルウェアを感染させ、自動トラフィックのブロックで多用されるブラウザ検証チャレンジを模倣することで、カスタマイズが可能なランディング・ページを作成するというものだ。

セキュリティ研究者の Amer Elsad は、「このツールを用いる脅威アクターは、コンテンツ配信ネットワーク (CDN) やクラウド・セキュリティ・プロバイダーが自動攻撃の脅威から身を守るために導入している、ブラウザ検証ページのチャレンジ・レスポンス動作を模倣する、高度にカスタマイズ可能なフィッシング・ページを作成できる。それらの偽装されたインターフェイスは、被害者からは正規のものに見えるため、ルアーの効果が高まっている」と述べている。

このカスタマイズされたフィッシング・ページには、ClickFix 攻撃の重要なステップであるクリップ・ボード操作の機能や、感染シーケンスを調整して適合するマルウェアを配信する、オペレーティング・システムに対する検出機能も備わっている。

少なくとも2件のインシデントにおいて、このキットを介して脅威アクターが生成したページが使用され、DeerStealer や Odyssey Stealer などの情報窃取ツールを展開していたことが検出されている。後者は、Apple macOS システムを標的とするものだ。

IUAM ClickFix Generator の出現は、2024年の後半以降において、アンダーグラウンド・フォーラムで商用 ClickFix ビルダーが増加していると、Microsoft が警告していたことを裏付けるものだ。このツールを統合したフィッシング・キットの、もう一つの注目すべき例として Impact Solutions が挙げられる。

2025年8月に Microsoft は、「これらのキットは、Cloudflare などを模した様々なルアーを含むランディング・ページの作成機能を提供する。また、ユーザーが Windows の Windows Run ダイアログに貼り付ける、悪意のあるコマンドの作成機能も提供する。これらのキットは、ウイルス対策と Web 保護のバイパスを保証すると主張しており (中には Microsoft Defender SmartScreen バイパスを謳うキットもある)、ペイロードの永続化も保証している」と述べている。

言うまでもなく、これらのツールによりサイバー犯罪者の参入障壁は低下し、多大な労力や技術的な専門知識を必要とすることなく、高度なマルチ・プラットフォーム攻撃を大規模に実行できるようになる。

ClickFix:キャッシュ・スマグリングでステルス性を向上

今回の調査結果は、ClickFix 攻撃の手法を革新する、新たなキャンペーンの発見に続くものである。このキャンペーンでは、標的ホストに悪意のあるファイルを明示的にダウンロードさせるのではなく、キャッシュ・スマグリングと呼ばれる巧妙な手法を用いてレーダーをすり抜ける。

Expel の主任脅威研究者である Marcus Hutchins は、「このキャンペーンは、悪意のスクリプトによる、ファイルのダウンロードやインターネット通信が行われないという点で、以前の ClickFix 亜種と異なる。つまり、ブラウザのキャッシュを悪用して、ユーザー・マシンに任意のデータを事前に保存することで、この攻撃は実現されている」と述べている。

Expel は、「攻撃の一環として受信した、最終的なペイロードを特定できなかった。また、フィッシング・ページにリダイレクトされるユーザーや、マルバタイジングや検索エンジン最適化 (SEO) ポイズニングなどの手法が使用されているかどうかも、現時点では不明である」と指摘している。

同社が記録した攻撃では、Fortinet VPN Compliance Checker を装う悪意のページが、ClickFix の手法を用いてユーザーを欺き、Windows File Explorer を起動させ、アドレスバーに悪意のあるコマンドを貼り付けることで、ペイロードの実行を誘発していた。

この非表示コマンドは、”conhost.exe” を介して PowerShell スクリプトを実行するように設計されている。このスクリプトの特徴は、追加のマルウェアのダウンロードや、攻撃者が管理するサーバとの通信を行わない点にある。その代わりに、JPEG 画像に見せかけた難読化されたペイロードを実行する。このペイロードは、ユーザーがフィッシング・ページにアクセスした時点で、ブラウザにキャッシュされている。

Marcus Hutchins は、「キャッシュから抽出されたファイルは、再起動のたびに実行されるように設定されたスケジュール・タスクのために使用される。タスクが実行されると、C2 (Command and Control) サーバに接続し、後続のコマンドを待機する」と、The Hacker News に述べている。

彼は、「Web ページも PowerShell スクリプトも、明示的にファイルをダウンロードするわけではない。ブラウザに偽の画像をキャッシュさせるだけで、PowerShell コマンドが Web リクエストを送信することもなく、このマルウェアは、ZIP ファイル全体をローカル・システムにダウンロードできる」と述べている。

この手法の影響は、きわめて懸念されるものだ。キャッシュ・スマグリングには、マルウェアのダウンロードおよび実行時に、悪意のファイルを検知する保護機能を回避する手段となる可能性がある。無害に見える “image/jpeg” ファイルがダウンロードされるが、その内容が抽出され、ClickFix フィッシング・ルアーに隠された PowerShell コマンドにより実行されるという。

WordPress サイトが悪質な JavaScript インジェクションで狙われる原因が丁寧に解説されています。そこで注目されるのは、ブラウザ・キャッシュを悪用するキャッシュ・スマグリングという検知回避の技術により、被害を拡大している点です。SucuriPalo Alto Unit 42Expel のレポートをソースにして、体系的にまとめてくれる、TheHackerNews に感謝です。よろしければ、ClickFix で検索も、ご参照ください。