最近偽のキャプチャでクリップボードに書き込んだ不正なコードを実行させるマルウェアの駆除のご依頼を複数回当社でお受けしており、このタイプのマルウェアが広がっている可能性がございます。このマルウェアについて現在分かっていることを解説いたします。
サイトにアクセスするとクラウドフレアの偽のキャプチャが出現しクリップボードの内容を盗むマルウェア
このマルウェアは上図のような画面をサイトに訪ねたユーザーに1度だけ表示します。(1度だけ表示するためにクッキーを利用します)
この偽のキャプチャーではサイトを閲覧するためにユーザーに下記の操作をするように指示してきます。
1 Press & hold the Windows Key + R
→ ローカルでコマンドを実行する画面を表示します
2 In the verification window, press Ctrl + V
3 Press Enter on the keyboard to complete
→ すでに不正なコードがクリップボードに書きこまれておりそのコマンドを実行させてしまいます
マルウェアがクリップボードに書きこんでいる不正なコマンドを見てみましょう。
※危険なコードの為一部ぼかしています
このコマンドが何をしているか解析してみます。
1 -w h = ローカルでの処理実行ウィンドウを 非表示(hidden)で起動
2 ep bypass = 実行ポリシーを無視してスクリプト実行を許可
→ これだけで「目立たない」「制約を迂回して実行する」意図があることが分かります。
3 ダウンロード元 URL を文字列結合で作っており、最終的に https://files.catbox[.]moe/****.txt のような URL からファイルを取得して一時フォルダに保存しています
4 ダウンロードした ファイル名.ps1 を そのまま実行しています(& は呼び出し演算子)。
つまりこの瞬間ローカルPCがウィルスに感染してしまいます。
偽キャプチャーマルウェアの対処方法
このマルウェアは、ワードプレスのindex.phpやwp-config.phpに不正なキャプチャ画面を表示する改ざんを行っている場合が多いです。
この部分を駆除し、また、改ざんされているという事はすでにハッカーがサーバーに侵入し、バックドアなどの不正なコードを複数サイトに埋め込んでいる可能性が高くなります。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
によるマルウェア検査駆除を行う事をお勧めいたします。
また、最初にハッカーの侵入を許した脆弱性を塞ぐ必要もございます。
参考ページは下記となります
無料でできるワードプレスのセキュリティー対策5選
一連の作業はワードプレスのマルウェア駆除の専門家集団WPドクターで安全確実に代行いたしますことも可能です。お気軽にご依頼・ご相談お送りください。
WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼・ご相談はWPドクターまでお気軽にお送りください
