Хакеры заставляют пользователей заполнить CAPTCHA, чтобы избежать автоматическое обнаружение атаки
21.06.20
Microsoft недавно обнаружила атаки, в ходе которых распространялся вредоносный документ Excel. Это происходило на сайте, требующем от пользователей заполнить CAPTCHA. Скорее всего, хакеры пришли к этому, чтобы помешать автоматическому обнаружению сканерами.
93 people are talking about this
Сам файл Excel содержит макросы, которые при включении устанавливают троян GraceWire, который ворует конфиденциальную информацию, например, пароли. Атаки инициировала группа Chimborazo, которую исследователи Microsoft отслеживают с января.
183 people are talking about this
Ранее эта группа распространяла файл Excel во вложениях, включенных в фишинговые сообщения, а затем — через встроенные веб-ссылки. Однако в последние недели группа изменила стратегию и начала рассылать фишинговые письма, которые содержит ссылки на сайты перенаправителей (обычно это сайты, которые ранее были взломаны). В других случаях к электронным письмам прикрепляется HTML-код, содержащий вредоносный тег iframe.
В любом случае, щелкнув по ссылке или вложению, пользователь попадает на сайт, где загружается вредоносный файл. Но происходит это только после завершения CAPTCHA. Цель данного шага — помешать автоматическому анализу, который используют для обнаружения и блокирования атак. Как правило, анализ выполняется ботами, которые загружают образцы вредоносных программ, запускают и анализируют их на виртуальных машинах.
See Microsoft Security Intelligence's other Tweets
В Microsoft окрестили новую кампанию Chimborazo Dudear.
Ранее, в рамках атак в январе, Chimborazo использовала службу отслеживания IP-адресов для отслеживания компьютеров, которые загружают вредоносный файл Excel, предположительно, для того, чтобы также избежать автоматического обнаружения.
Однако это не первый случай, когда CAPTCHA использовали при атаках. О подобном сообщалось в конце декабря.
See V1rgul3's other Tweets
Не исключено, что CAPTCHA, обнаруженная Microsoft, может быть поддельной reCAPTCHA.
21.06.20
Microsoft недавно обнаружила атаки, в ходе которых распространялся вредоносный документ Excel. Это происходило на сайте, требующем от пользователей заполнить CAPTCHA. Скорее всего, хакеры пришли к этому, чтобы помешать автоматическому обнаружению сканерами.
Microsoft Security Intelligence
✔@MsftSecIntel
CHIMBORAZO, the group behind Dudear campaigns that deploy the info-stealing Trojan GraceWire, evolved their methods once again in constant pursuit of detection evasion. The group is now using websites with CAPTCHA to avoid automated analysis.
157
12:00 AM - Jun 18, 2020
Twitter Ads info and privacy
93 people are talking about this
Сам файл Excel содержит макросы, которые при включении устанавливают троян GraceWire, который ворует конфиденциальную информацию, например, пароли. Атаки инициировала группа Chimborazo, которую исследователи Microsoft отслеживают с января.
Microsoft Security Intelligence
✔@MsftSecIntel
Dudear (aka TA505/SectorJ04/Evil Corp), used in some of the biggest malware campaigns today, is back in operations this month after a short hiatus. While we saw some changes in tactics, the revived Dudear still attempts to deploy the info-stealing Trojan GraceWire.
575
12:29 AM - Jan 31, 2020
Twitter Ads info and privacy
183 people are talking about this
Ранее эта группа распространяла файл Excel во вложениях, включенных в фишинговые сообщения, а затем — через встроенные веб-ссылки. Однако в последние недели группа изменила стратегию и начала рассылать фишинговые письма, которые содержит ссылки на сайты перенаправителей (обычно это сайты, которые ранее были взломаны). В других случаях к электронным письмам прикрепляется HTML-код, содержащий вредоносный тег iframe.
В любом случае, щелкнув по ссылке или вложению, пользователь попадает на сайт, где загружается вредоносный файл. Но происходит это только после завершения CAPTCHA. Цель данного шага — помешать автоматическому анализу, который используют для обнаружения и блокирования атак. Как правило, анализ выполняется ботами, которые загружают образцы вредоносных программ, запускают и анализируют их на виртуальных машинах.
Microsoft Security Intelligence
✔@MsftSecIntel
· Jun 18, 2020
Replying to @MsftSecIntel
In past Dudear campaigns, the group attached malicious Excel files directly in emails. In January, the group started using HTML redirectors that led to a download page. https://twitter.com/MsftSecIntel/status/1222995250911703041 …
Microsoft Security Intelligence
✔@MsftSecIntel
Dudear (aka TA505/SectorJ04/Evil Corp), used in some of the biggest malware campaigns today, is back in operations this month after a short hiatus. While we saw some changes in tactics, the revived Dudear still attempts to deploy the info-stealing Trojan GraceWire.
Microsoft Security Intelligence
✔@MsftSecIntel
Microsoft researchers continue to monitor CHIMBORAZO, its activities, and evolving methods. Microsoft Threat Protection provides coordinated defense against these evasive campaigns: Office 365 ATP detects malicious URLs in emails, Microsoft Defender ATP blocks files on endpoints.
8
12:00 AM - Jun 18, 2020
Twitter Ads info and privacy
See Microsoft Security Intelligence's other Tweets
В Microsoft окрестили новую кампанию Chimborazo Dudear.
Ранее, в рамках атак в январе, Chimborazo использовала службу отслеживания IP-адресов для отслеживания компьютеров, которые загружают вредоносный файл Excel, предположительно, для того, чтобы также избежать автоматического обнаружения.
Однако это не первый случай, когда CAPTCHA использовали при атаках. О подобном сообщалось в конце декабря.
V1rgul3@Secu0133
papiladesigninc[.]com identified as an Emotet Epoch 2 site is also hosting a @canadapostcorp #Phishing page. Delivering a .vbs dropper (detection 2/60) after completing a fake Google #reCAPTCHA #danabot https://www.hybrid-analysis.com/sample/fd273d44e0cf823542aacdb2d32d1bc09436d1280dbdce705c8bad9a08d98748?environmentId=100 …
9
1:57 AM - Dec 23, 2019
Twitter Ads info and privacy
See V1rgul3's other Tweets
Не исключено, что CAPTCHA, обнаруженная Microsoft, может быть поддельной reCAPTCHA.
