Cómo los hackers utilizan CAPTCHA para evadir la detección automatizada

CAPTCHA parece estar en todos lados. Estos caracteres descuidados están en blogs, sitios web de tickets, portales de compras, lo que sea. ¿Esos coches que necesitas identificar en un bloque de imágenes antes de poder acceder a un sitio web? Eso también es CAPTCHA. CAPTCHA se inventó para ayudar a los sitios a distinguir a los usuarios humanos de los bots y las herramientas de hacking automatizadas. Pero poco sabían sus creadores que los ciberdelincuentes algún día lo aprovecharían para evitar la detección automatizada.

Microsoft anunció recientemente que su equipo de inteligencia de seguridad había identificado una campaña de Excel maliciosa que involucraba CAPTCHA. Según la declaración de la compañía, el grupo ciberdelincuente CHIMBORAZO está distribuyendo documentos de Excel. Estos documentos están infectados y redirigen a los usuarios a una página de protección DDoS de Cloudflare con Google reCAPTCHA. Al resolver el rompecabezas CAPTCHA, se descarga un archivo .xls/.xlsm malicioso, que luego infecta la computadora de la víctima con el troyano GraceWire. Este troyano roba contraseñas.

El malware con CAPTCHA en Excel es llamado Campaña Dudear

Microsoft dijo que la compañía ha estado rastreando las actividades de Chimborazo desde enero de 2020. El grupo detrás de las campañas de Dudear que involucran redirectores HTML de robo de información ahora está utilizando métodos avanzados para evadir la detección. Exigir a los usuarios que completen CAPTCHA permite a los hackers eludir el análisis automatizado que utilizan los programas de seguridad para identificar y bloquear ataques.

Por lo general, los detectores de virus de correo electrónico examinan los archivos en busca de códigos, controladores, bibliotecas, etc. Buscan códigos se pueden explotar con el primer clic.

Otros programas recopilan muestras de malware y las ejecutan en máquinas virtuales para realizar un análisis exhaustivo. Pero requerir un CAPTCHA significa que el análisis solo se puede realizar después de que el usuario descargue un archivo malicioso. Por lo tanto, el análisis automatizado se deja en un segundo plano. Esto aumenta las probabilidades de que el código explotable escape a la detección y ayuda a los adversarios a implementar GraceWire.

Microsoft denominó la campaña CAPTCHA Excel en curso como Dudear, ya que es parte de una campaña de phishing más grande. La campaña tiene como objetivo inyectar el payload GraceWire en los sistemas de los usuarios.

Hackers distribuyen archivos de Excel a través de campañas de phishing y enlaces web integrados

Microsoft también observó la forma en que Chimborazo ha estado distribuyendo archivos de Excel. Inicialmente, el grupo distribuía documentos infectados a través de archivos adjuntos en campañas de phishing. Más tarde, lo difundieron a través de enlaces web integrados. Luego, el grupo experimentó con mensajes de phishing con enlaces que conducían a sitios web redirectores (también conocidos como sitios web legítimos comprometidos). También intentaron con archivos adjuntos HTML que contenían una etiqueta iframe maliciosa. 

En cualquier caso, se le pide al objetivo que resuelva CAPTCHA antes de que pueda descargar el documento. Una vez que lo hacen, el documento de Excel libera macros que instalan el troyano GraceWire. Esto para robar información confidencial como el correo electrónico y las contraseñas bancarias en línea

Aquí hay una imagen de la cadena de ataque de Chimborazo:

En enero, el grupo de inteligencia de seguridad de Microsoft reveló que Chimborazo aprovechó un “servicio de rastreo de IP”. Esto para rastrear las direcciones del protocolo de Internet de los sistemas que descargan los documentos CAPTCHA Excel maliciosos. Probablemente también para evitar el análisis automatizado. Fue en ese momento cuando la compañía vio por primera vez al grupo de hackers utilizar sitios web de redireccionamiento.

La técnica de evasión CAPTCHA no es algo nuevo

Las técnicas de evasión basadas en CAPTCHA no son infrecuentes. El año pasado, los investigadores de seguridad de Cofense detectaron una campaña de phishing que dependía de CAPTCHA para evadir las pasarelas de correos seguros. Las investigaciones revelaron que los hackers estaban enviando a organizaciones objetivos correos electrónicos que contenían un mensaje de voz voip2mail de un compañero de trabajo. Si un usuario hacía clic en la URL para escuchar el mensaje de voz, se le llevaría a una página web. En esa página se le pedía resolver un rompecabezas CAPTCHA. 

Al resolver el CAPTCHA, se le pedía al usuario que eligiera una cuenta de Microsoft e iniciar sesión. Una vez que lo hacen, los ciberdelincuentes roban toda la información ingresada. Aquellos que implementaron esta técnica también fueron lo suficientemente inteligentes como para usar una página web diferente para la prueba de verificación de Captcha. Esto significa que al hacer clic en CAPTCHA se redirige a una página web que aloja el malware. Mientras que la página original (es decir, la página que se abrió después de que un usuario abrió el mensaje de voz) permanece limpia. 

Entonces, cuando un SEG (puerta de enlace segura de correo electrónico) escaneaba la URL de la página web presente en el correo de voz. Es decir, solo podía escanear hasta la primera página que solicitaba el CAPTCHA, que no contenía ningún malware. El uso de la página web en capas obliga al SEG a marcar la primera página como segura y dejar pasar al usuario.

Conclusión

El equipo de Microsoft Security Intelligence confirmó que productos como Microsoft Defender ATP ayudan a detectar la amenaza CAPTCHA Excel. Aun así, sería mejor si tuvieras cuidado al descargar cualquier documento de Excel que te redireccione a una página web que solicite la verificación CAPTCHA. 

Esto también se aplica a cualquier archivo de Microsoft Office para el que habilites la edición. Recuerda, no hay una buena razón para que un archivo adjunto legítimo de Excel (o cualquier otro documento) tenga CAPTCHA. Así que, ten cuidado con los archivos que permiten descargas de esta manera.

Deja un comentario