Sucuriは8月22日(米国時間)、「WordPress Websites Used to Distribute ClearFake Trojan Malware」において、トロイの木馬を配布する「ClearFake」キャンペーンに遭遇したとして、その概要を伝えた。ClearFakeキャンペーンは2023年7月ごろから確認されているマルウェア配布キャンペーンで、現在も修正を加えながら進行中とされる(参考:「ClearFake Malware Analysis Update | Malware Analysis」)。
-
WordPress Websites Used to Distribute ClearFake Trojan Malware
マルウェアに感染させる新たな手法
ClearFakeキャンペーンでは、Webブラウザ上に偽の警告表示を行い、悪意のあるスクリプトをユーザー自身に実行させてマルウェアに感染させる。登場初期は偽のブラウザアップデートを通知し、スクリプトを実行させる手法が使われていた。
今回Sucuriが確認した事案では、「ルート証明書」の更新が必要とする警告メッセージを表示し、悪意のあるスクリプトの実行を要求するという。ルート証明書は認証局自身による自己署名証明書でWebブラウザに初めから設定されており、通常はユーザーが個別にアップデートすることはない。しかしながら、多くのユーザーは具体的な仕組みを理解せずに利用しており、警告に盲目的に従うユーザーはだまされる可能性がある。
-
ルート証明書の更新を要求する偽の警告 引用:Sucuri
警告に従い更新方法を確認すると、「Copy」ボタンを押してから管理者権限のPowerShellを起動し、画面を右クリックするように要求される。PowerShellの右クリックは貼り付けを意味しており、右クリックした瞬間に悪意のあるスクリプトが実行される。
-
PowerShellを起動し右クリックを求める画面 引用:Sucuri
悪意のあるスクリプトはPowerShell画面を非表示にし、バックグラウンドで処理を継続する。永続性の確保などを処理すると、GitHubからトロイの木馬をダウンロードしてインストールする。このトロイの木馬は主要なセキュリティソリューションから検出可能だという。
侵害されたWordPressサイト
Sucuriによると、ルート証明書の更新を求めたWebサイトは攻撃者に侵害されたWordPressサイトとされる。攻撃者は何らかの方法でWordPressサイトに侵入し、42カ国語に対応した警告表示処理を追加したものと推測されている。Sucuriは追加された警告表示処理の中からロシアのIPアドレスを発見しており、攻撃者のIPアドレスの可能性があると指摘している。
対策
Webブラウザを利用する場合は、偽の警告表示の存在を認識し、常に警戒することが推奨されている。また、Webサイトの運営者は、利用しているソフトウェア、プラグイン、テーマを常に最新の状態に維持し、侵害の兆候がないか定期的に調査することが推奨されている。また、Webサイトのアカウントに一意で強力なパスワードを設定し、可能であれば多要素認証(MFA: Multi-Factor Authentication)の導入とアクセス制限を実施することが望まれている。
