最近よく見る偽のエラーメッセージやキャプチャ画面について簡単に紹介します。
セキュリティに関わっていない方でも読みやすいように書いてあります。
ClickFixについて
偽のエラーメッセージやキャプチャ画面を使って、悪意あるコードを実行させようとする手法です。
昨年あたりからよく見かけるようになり、日本語で書かれているものも確認しています。
ClickFixの例
偽のブラウザエラーメッセージ(Chrome)
Chromeなどのブラウザのエラーメッセージを装って、悪意あるコードを実行させようとします。
「修正をコピー」をクリックすると、以下の悪意あるコートがコピーされます。
偽のキャプチャ画面(Notion + Cloudflare Turnstile)
NotionとCloudflare Turnstileを装って、悪意あるコードを実行させようとします。
偽のキャプチャ画面(reCAPTCHA)
reCAPTCHA画面を装って、悪意あるコードを実行させようとします。
ClickFixで使われる悪意あるWebサイトの出現経路
攻撃者はさまざまな方法で誘導しようとします。
・受信したメールから誘導する
・改ざんされたWebサイトにアクセスする
・不正な広告からアクセスする
・etc.
特に下2つの方法は、不特定多数の人を誘導することができます。
改ざんされたWebサイトにアクセスする
正規のWebサイトを改ざんして、ClickFixに誘導させようとします。
下の画像は、ClearFakeがWebサイトに埋め込んだ改ざんコードです。
不正な広告からアクセスする
検索結果などに表示された不正な広告からClickFixに誘導します。
特定の製品やサービスを騙った画面を表示します。
不正な広告を使った攻撃については、以下の記事が参考になります。
実際の振る舞いについて
下のany.runの分析結果は、ClearFakeのClickFixの振る舞いがわかるものです。
偽のキャプチャ画面でコピーした悪意あるコードが実行されると、mshtaコマンドを使って不正サイト上に置かれたプログラムを実行しています。
さいごに
正規のWebサイトを改ざんしたり、不正な広告から誘導したりと不特定多数の人を巻き込める手法を使っているため、ClickFixを知らないと引っかかってしまう可能性があります。
また、日本語で書かれているものも出回っています。
今後、日本の製品やサービスを騙ったものが出てくる可能性もあるため注意が必要です。