偽のcaptchaでマルウェアに感染させる手法である、clickfixは最近よく使用されます。pdfを使った手法が掲載されていたので紹介します。
https://news.mynavi.jp/techplus/article/20250410-3176699/
侵害手法は以下の流れ
- PDFダウンロード
- PDF内の偽のcaptcha画像をクリック
- CloudFlare Turnstileにリダイレクトし人間確認をパス
- ブラウザ通知を有効化
- もう一度、CloudFlare Turnstileにリダイレクトし人間確認をパス
- 悪意あるwebサイトにリダイレクト
- ファイル名を指定して実行するように誘導
このフローを見ていると、2度もCloudFlare Turnstileにリダイレクトし人間確認をパスしています。なぜこのような面倒なフローを2回も繰り返すかというと、攻撃者にとって以下のメリットがあるからです。
- 信頼性を偽装:Cloudflareを通ってる=一見「安心そう」に見える
- セキュリティスキャナの回避:Turnstile を通せないボットを弾き、セキュリティ企業の観測や分析から時間を稼ぐ
- 攻撃対象を人間に届けられる:人間確認を通すことでソーシャルエンジニアリング攻撃を人間のみに限定することができる
悪質なサイトをセキュリティ防御側に発見されるのを防ぐために、攻撃者は様々な工夫しています。
日々、攻撃側の思考をインプットしていくことが重要です。
