悪用される無料認証手段

安全のための機構はたくさんあります。
そういったものの一つのジャンルに無料認証手段があります。
スクリプトによる自動処理を拒むことなどを目的とした機構です。
CAPTCHAが有名です。
この種の機構の認知度が高くなったこともあり、本来の目的に利用されるだけでなく、脅威アクターにツールとして利用されてしまうケースも多く出てきています。
最近の悪用例を見てみましょう。

• ドキュメント検索
  被害者になる人は、ドキュメントを検索している人です。
  希望するドキュメントだと思えるもの確認したその人は、そのドキュメントの内容を確認したくなることでしょう。
• ダウンロード
  希望する内容のドキュメントを発見したと感じたら、その人はそのファイルのダウンロードを試みます。
  自然なことです。
  しかし、ダウンロードされた文書を開くと、そこにはまだ期待する内容は記載されていません。
• CAPTCHA
  ダウンロードした文書に記載されていたのはCAPTCHAでした。
  内容を確認したいため、ダウンロードして文書を開いた人は、そのCAPTCHAをクリックします。
• Cloudflare Turnstile
  Cloudflare Turnstileも無料認証手段の一つです。
  CAPTCHAの代替としても利用される機構で、CAPTCHAと同じく、ページのアクセス時にユーザーが人間かロボットかを判別して不正アクセスを検知・遮断することが期待される機能です。
  先ほどの文書の中のCAPTCHAをクリックした人の画面にはこのCloudflare Turnstileが表示されます。
• 通知設定の変更画面
  表示されたCloudflare Turnstileもクリックすると、次は通知設定の変更画面が表示されます。
  画面にはダイアログが表示され、通知設定を許可するかどうかが問われます。
  ダイアログの後ろの画面部分にはいかにも説明的な感じに仕立てられた漫画調の画像を添えて、通知設定を許可するように促します。
  ここで通知がサポートされていないブラウザだったり、通知を許可しなかった場合は、攻撃は成立しません。
  通知を許可すると、次の段階に進みます。
• さらに次のCloudflare Turnstile
  今度はクリックするだけではなく、もう少し手の込んだ内容を操作させる内容に設定されたCloudflare Turnstileです。
  画面の操作に従って操作するとロボットでないことが認証されるという仕上がりです。
  しかし実施されるのは認証ではなく、攻撃のステップです。
  指示に従って操作すると、MSIファイルがダウンロードされます。
• MSIの実行
  ここでダウンロードされたMSIファイルを実行すると画面にはPDF文書が表示された状態になります。
  しかしこれは隠れ蓑です。
  PDFの表示されたその後ろ側では処理は継続されており、バッチファイルをダウンロードして実行します。
  バッチファイルから実行される正規のファイルが、悪意あるDLLをサイドロードします。
  悪意あるDLLはLegionLoaderそのもののバイナリとLegionLoaderを読み込む機構です。
  これらが作用すると、最終的に悪意あるブラウザ拡張機能が設置されます。
• 悪意のあるブラウザ拡張機能の機能
  設置されてしまった悪意のあるブラウザ拡張機能は、いくつもの機能を実現できます。
  スクリプトの実行、マシン情報の収集、クリップボードに保存されているアイテムを含むさまざまなブラウザデータへのアクセスを可能にします。
  Google Chrome、Microsoft Edge、Brave、Operaなどのブラウザがターゲットです。

見慣れた機構が画面に表示されたとき、あまり注意深く確認せずに画面の指示に従った操作を実施してしまいそうになるのは、あることかもしれません。
その機構が安全のために利用されるようなものであった場合、なおさらです。
しかし、こういった機構はこの例のように悪用の事例が多くあります。
無意識に画面の指示に従うことは危険ですね。

New Evasive Campaign Delivers LegionLoader via Fake CAPTCHA & CloudFlare Turnstile
https://www.netskope.com/blog/new-evasive-campaign-delivers-legionloader-via-fake-captcha-cloudflare-turnstile