6000以上のワードプレスがサイバー攻撃とハッキングの被害
セキュリティ研究者は、6,000を超えるWordPressサイトが攻撃を受け、不正なプラグインがインストールされていることを確認しました。これらのプラグインは、ユーザーの情報を盗む「インフォスティーラー(情報窃取型マルウェア)」を拡散するために使用されていると報告されています。
正規プラグインを装った偽プラグインでハッキング
攻撃者は、WordPressサイトに脆弱性を突いて侵入し、情報窃取型プラグインをインストールします。
これらのプラグインは、ユーザーの認証情報(ID・パスワード)やブラウザの保存データなどを収集するために設計されています。サイトの運営者に気づかれないよう、プラグインは正規のプラグインを装ったり、サイレントモードで動作する工夫が施されています。
さらに、被害を受けたサイトの多くは、すでに他の攻撃にもさらされている可能性があるとされ、攻撃者が脆弱なサイトをターゲットに選んでいることが示唆されています。
悪意のあるプラグインの一部はWordfense Security や LiteSpeed Cache など、正規のプラグインに似た名前を使用しますが、一般的な架空の名前を使用するものもあります。
確認された悪意のあるプラグイン
2024 年 6 月から 9 月の間にこのキャンペーンで確認された悪意のあるプラグインのリストは次のとおりです。
LiteSpeed Cache Classic | Custom CSS Injector |
MonsterInsights Classic | Custom Footer Generator |
Wordfence Security Classic | Custom Login Styler |
Search Rank Enhancer | Dynamic Sidebar Manager |
SEO Booster Pro | Easy Themes Manager |
Google SEO Enhancer | Form Builder Pro |
Rank Booster Pro | Quick Cache Cleaner |
Admin Bar Customizer | Responsive Menu Builder |
Advanced User Manager | SEO Optimizer Pro |
Advanced Widget Manage | Simple Post Enhancer |
Content Blocker | Social Media Integrator |
ClickFixキャンペーンの1つか
2023年以降、「ClearFake」と呼ばれる悪意のあるキャンペーンが使用され、 情報窃取マルウェアを配布する侵害されたウェブサイトに偽のウェブブラウザ更新バナーが表示されました。
2024 年には、ClearFake と多くの類似点を持つ ClickFix と呼ばれる新しいキャンペーンが導入されましたが、これは修正が含まれたソフトウェア エラー メッセージを装っています。ただし、これらの「修正」は PowerShell スクリプトであり、実行されると情報を盗むマルウェアがダウンロードされてインストールされます。
ClickFix キャンペーンは今年ますます一般的になり、脅威アクターがサイトを侵害して、 Google Chrome、Google Meet 会議、Facebook、さらにはキャプチャ ページの偽のエラーを示すバナーを表示しています。
GoDaddyの セキュリティ研究者は、 ClearFake/ClickFix の脅威アクターが 6,000 を超える WordPress サイトに侵入し、これらのキャンペーンに関連する偽のアラートを表示する悪意のあるプラグインをインストールしたと報告しました。
参照
Over 6,000 WordPress sites hacked to install plugins pushing infostealers