Zimperiumが指摘するように、この脅威はさらに悪質になっている。「PDFファィルは、悪意のあるリンク、スクリプト、ペイロード(攻撃するためのプログラムコード)を埋め込むことが可能であるため、フィッシング攻撃やマルウェア(悪意のあるソフトウェア)、エクスプロイト(脆弱性を利用した攻撃手段)を仕掛けるための一般的な媒介となっている」モバイル機器では画面が小さくて詳細情報が非表示になっていることが多いため、問題はさらに深刻だ。「ユーザーがファイルを開く前にその内容について視認できることが制限されるため、これらの脅威は簡単に従来のセキュリティ対策を回避することができる」
PDFファイルでは、リンクは通常、
/URI (http://www.example.com)
というように、URIを指定する形で埋め込まれるが、攻撃者は標準の「/URI」タグを使わずにクリック可能なリンクを埋め込むことで、セキュリティ分析中にURLを検出することを難しくする。これに対し、標準的な「/URI」タグが使われているものは、同じURLを検出することができた。このことは、悪意のあるURLを隠すための手法として、このやり方が有効であることを示している。
Zimperiumは「20以上の悪意のあるPDFファイルと、隠されたリンクを持つ630のフィッシングページを特定しており、これが大規模な活動であることは明らかだ」と述べている。この攻撃活動は広範囲に及ぶ「悪意のあるインフラ」によって支えられているようで、「50カ国以上の組織に影響を与えるおそれがある。この攻撃活動では、クリックできる要素を隠すために、複雑でこれまで見られなかった手法が採用されているので、ほとんどの端末上のセキュリティ対策では隠されたリンクを適切に解析することが困難」になっているとのことだ。
巧妙ではあるが、攻撃自体はよくあるパターンに則ったものであり、ユーザーがリンクをクリックするように仕向けて、認証情報を盗み取るための詐欺的なウェブページに誘導するという手口だ。そのリンクが、検出されにくくする新たな手法によって隠されている。それが共通点だ。
