WordPressサイトからマルウェア配布、警戒を

画像提供：マイナビニュース

Sucuriは10月18日(米国時間)、「Fake “Fix It” Pop-Ups Target WordPress Sites via Malicious Plugin to Download Trojan」において、WordPressサイトからマルウェアを配布する新しいキャンペーンを発見したと伝えた。このキャンペーンでは正常なWordPressサイトを侵害し、悪意のあるプラグインをインストールして訪問者にマルウェアを配布するという。

○侵害経路

Sucuriの調査によると、攻撃者がインストールする悪意のあるプラグインは「universal-popup-plugin」とされる。GoDaddyセキュリティチームも同一キャンペーンによりインストールされたと推測されるプラグインを複数発見しており、それら一覧は次のとおり(参考：「Threat Actors Push ClickFix Fake Browser Updates Using Stolen Credentials  - GoDaddy Blog」)。

universal-popup-plugin
Admin Bar Customizer
Advanced User Manager
Advanced Widget Manage
Content Blocker
Custom CSS Injector
Custom Footer Generator
Custom Login Styler
Dynamic Sidebar Manager
Easy Themes Manager
Form Builder Pro
Quick Cache Cleaner
Responsive Menu Builder
SEO Optimizer Pro
Simple Post Enhancer
Social Media Integrator

これまでのところ、WordPressサイトに不正アクセスした方法は明らかになっていない。何らかの方法でWordPressサイトに侵入した攻撃者は上記プラグインのいずれかをインストールし、Webサイト訪問者に偽のポップアップを表示してマルウェアの配布を試みたとされる。

偽のポップアップはWebページのエラーを表示し、修正方法として「ルート証明書」のインストール、またはWebブラウザの偽の更新を要求する。いずれの場合も修正手順としてマルウェアのインストール手順を表示し、被害者自身にマルウェアをインストールさせる「ClickFix戦術」を使用したことが確認されている（参考：「Google Meetのエラーを装いマルウェア配布、偽会議の招待に注意 | TECH+（テックプラス）」）。