Para evitar la detección, los piratas informáticos necesitan objetivos para completar CAPTCHA


  Para evitar la detección, los hackers necesitan objetivos para completar CAPTCHA.

Microsoft Security Intelligence

CAPTCHA, estos acertijos con sonidos apagados o letras borrosas o adornadas que los sitios web usan para filtrar bots (a menudo sin éxito), han sido usuarios molestos durante más de una década. Ahora es probable que las pruebas de desafío y respuesta molesten a los objetivos en ataques de malware.

Microsoft ha descubierto recientemente un grupo de ataque que está distribuyendo un documento Excel malicioso a un sitio donde los usuarios deben CAPTCHA, lo más probable es que eviten la detección de automatización por parte de los buenos. El archivo Excel contiene macros que instalan GraceWire cuando se activa, un troyano que roba información confidencial como contraseñas. Los ataques provienen de un grupo llamado Microsoft Chimborazo, que los investigadores de negocios han estado siguiendo desde al menos enero.

Microsoft observó anteriormente cómo Chimborazo distribuyó el archivo de Excel en archivos adjuntos contenidos en mensajes de phishing y luego lo distribuyó a través de enlaces web integrados. En las últimas semanas, el grupo ha comenzado a enviar correos electrónicos de phishing que cambian las cosas nuevamente. En algunos casos, los phishing contienen enlaces que conducen a sitios redireccionadores (generalmente sitios legítimos que han sido comprometidos). En otros casos, los correos electrónicos tienen un archivo adjunto HTML que contiene una etiqueta iframe maliciosa.

En cualquier caso, al hacer clic en el enlace o archivo adjunto se accede a un sitio donde los objetivos descargan el archivo malicioso, pero solo después de CAPTCHA (abreviatura) para una prueba de Turing pública totalmente automatizada para separar computadoras y personas distinguir). El propósito: frustrar el análisis automatizado que permite a los defensores identificar y bloquear ataques y poner fin a las campañas de ataque. Por lo general, los bots se analizan, las muestras de malware se descargan, ejecutan y analizan en máquinas virtuales.

Si un CAPTCHA tiene que completarse con éxito, el análisis solo se lleva a cabo cuando una persona viva descarga el ejemplo. Sin automatización, las posibilidades de que el archivo malicioso vuele bajo el radar son mucho mejores. Microsoft ha nombrado Dudear, la campaña de ataque en curso de Chimborazo.

"CHIMBORAZO, el grupo detrás de las campañas de Dudear que utilizan el troyano de robo de información GraceWire, ha desarrollado aún más sus métodos para eludir el descubrimiento", escribió el grupo Microsoft Security Intelligence en un tweet el miércoles . "El grupo ahora está usando los sitios web CAPTCHA para evitar el análisis automatizado".

El flujo de ataque se ve así:

Microsoft Security Intelligence

En En una campaña del Grupo de Inteligencia de Seguridad que se trató en enero Chimborazo utilizó un servicio de rastreo de IP para rastrear las direcciones IP de las computadoras que descargan el archivo malicioso de Excel, probablemente también el automatizado Perder la detección. Fue la primera vez que Microsoft vio a Chimborazo usando sitios redireccionadores.

Jérôme Segura, jefe de inteligencia de amenazas en Malwarebytes, dijo que el uso de CAPTCHA en ataques de malware era raro, pero no sin precedentes. Se refirió a este tweet de finales de diciembre, que hizo lo mismo. En este caso, los atacantes necesitaban objetivos para completar un CAPTCHA que había comprometido el servicio reCAPTCHA de Google. Si bien era falso, tenía el mismo propósito que uno real: frustrar el análisis automatizado al requerir que una persona real descargue el archivo.

CAPTCHA descubierto por Microsoft también es un reCAPTCHA falso. La prueba: como se puede ver en la imagen de arriba en este artículo, reCAPTCHA y a continuación establece que "Cloudflare proporciona protección DDoS". Estos son dos servicios separados. Los representantes de Google no respondieron de inmediato a un correo electrónico pidiéndoles que comentaran sobre esta publicación.

Cambiar regularmente las rutinas de ataque es una forma en que los atacantes siempre están un paso por delante de los defensores y crean un proceso interminable de ida y vuelta que requiere una vigilancia constante para que los defensores se mantengan actualizados. Es probable que el grupo de ataque cambie de rumbo en los próximos meses.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *