abril 16, 2021

Para evadir la detección, los piratas informáticos requieren objetivos para completar CAPTCHA

Para evadir la detección, los piratas informáticos requieren objetivos para completar CAPTCHA

Inteligencia de seguridad de Microsoft

CAPTCHA, esos rompecabezas con sonidos apagados o letras borrosas o resbaladizas que los sitios web usan para filtrar robots (a menudo sin éxito), han molestado a los usuarios finales durante más de una década. Ahora, es probable que las pruebas de desafío y respuesta molesten a los objetivos en ataques de malware.

Recientemente, Microsoft identificó un grupo de ataque que distribuye un documento de Excel malicioso en un sitio que requiere que los usuarios completen un CAPTCHA, probablemente en un intento de frustrar la detección automática por parte de los buenos. El archivo Excel contiene macros que, si están habilitadas, instalan GraceWire, un troyano que roba información confidencial como contraseñas. Los ataques son el trabajo de un grupo que Microsoft llama Chimborazo, que los investigadores de la compañía han estado siguiendo durante al menos enero.

Anteriormente, Microsoft observó a Chimborazo distribuir el archivo de Excel en los archivos adjuntos incluidos en los mensajes de suplantación de identidad y, posteriormente, difundirlo a través de enlaces web incrustados. En las últimas semanas, el grupo ha comenzado a enviar correos electrónicos de phishing que cambian las cosas nuevamente. En algunos casos, las estafas de phishing incluyen enlaces que conducen a sitios redireccionadores (generalmente sitios legítimos que han sido comprometidos). En otros casos, los correos electrónicos tienen un archivo adjunto HTML que contiene una etiqueta iframe maliciosa.

En cualquier caso, al hacer clic en el enlace o en el archivo adjunto lo lleva a un sitio donde los destinos descargan el archivo malicioso, pero solo después de completar CAPTCHA (que es la abreviatura de una prueba de Turing pública totalmente automática para distinguir las computadoras y humanos). El objetivo: contrarrestar el análisis automatizado utilizado por los defensores para detectar y bloquear ataques y bloquear campañas de ataque. Por lo general, el análisis lo realizan esencialmente robots que descargan muestras de malware y las ejecutan y analizan en máquinas virtuales.

Solicitar la finalización exitosa de un CAPTCHA significa que el análisis solo tendrá lugar cuando un ser humano vivo descargue la muestra. Sin automatización, las posibilidades de que el archivo malicioso vuele bajo el radar son mucho mejores. Microsoft ha apodado a Dudear, la campaña de ataque en curso de Chimborazo.

«CHIMBORAZO, el grupo detrás de las campañas de Dudear que implementan el troyano GraceWire que roba información, ha desarrollado nuevamente sus métodos en la búsqueda constante de detección de evasión», escribió el grupo de Inteligencia de Seguridad de Microsoft en un Tweets del miércoles. «El grupo ahora usa sitios web con CAPTCHA para evitar el análisis automatizado».

El flujo de ataque se ve así:

Inteligencia de seguridad de Microsoft

En una campaña, el grupo de inteligencia de seguridad cubierto en eneroChimborazo utilizó un servicio de rastreo de IP para rastrear las direcciones IP de las máquinas que descargan el archivo malicioso de Excel, presumiblemente para evitar incluso la detección automática. En aquel entonces, era la primera vez que Microsoft veía a Chimborazo usar sitios redireccionadores.

Jérôme Segura, jefe de inteligencia de amenazas del proveedor de seguridad Malwarebytes, dijo que el uso de CAPTCHA en ataques de malware es raro pero sin precedentes. Ha indicado este tweet a finales de diciembre había estado haciendo lo mismo. En ese caso, los atacantes solicitaron objetivos para completar un CAPTCHA que fue una imitación del servicio reCAPTCHA de Google. Aunque era falso, tenía el mismo propósito que uno real: contrarrestar el análisis automatizado al requerir que una persona real descargue el archivo.

El CAPTCHA notado por Microsoft también es un reCAPTCHA falso. La prueba: como se ve en la imagen en la parte superior de esta publicación, dice reCAPTCHA y debajo, que afirma proporcionar «protección DDoS de Cloudflare». Estos son dos servicios separados. Los representantes de Google no respondieron de inmediato a un correo electrónico en busca de comentarios para esta publicación.

Cambiar periódicamente las rutinas de ataque es una forma en que los atacantes se colocan frente a los defensores, creando un proceso continuo de ida y vuelta que requiere vigilancia constante para los defensores. Es probable que el grupo de ataque cambie de rumbo nuevamente en los próximos meses.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *