Хакеры заставляют пользователей заполнить CAPTCHA, чтобы избежать автоматическое обнаружение атаки

Хакеры заставляют пользователей заполнить CAPTCHA, чтобы избежать автоматическое обнаружение атаки

21.06.20
v7vuhoefbzcpzt2m2tpszg5tvts.webp

Microsoft недавно обнаружила атаки, в ходе которых распространялся вредоносный документ Excel. Это происходило на сайте, требующем от пользователей заполнить CAPTCHA. Скорее всего, хакеры пришли к этому, чтобы помешать автоматическому обнаружению сканерами.

a2naHzbe_normal.webp
Microsoft Security Intelligence

@MsftSecIntel


CHIMBORAZO, the group behind Dudear campaigns that deploy the info-stealing Trojan GraceWire, evolved their methods once again in constant pursuit of detection evasion. The group is now using websites with CAPTCHA to avoid automated analysis.
Eavh0gxUwAAnctL?format=png&name=small.webp

157
12:00 AM - Jun 18, 2020
Twitter Ads info and privacy

93 people are talking about this



Сам файл Excel содержит макросы, которые при включении устанавливают троян GraceWire, который ворует конфиденциальную информацию, например, пароли. Атаки инициировала группа Chimborazo, которую исследователи Microsoft отслеживают с января.

a2naHzbe_normal.webp
Microsoft Security Intelligence

@MsftSecIntel


Dudear (aka TA505/SectorJ04/Evil Corp), used in some of the biggest malware campaigns today, is back in operations this month after a short hiatus. While we saw some changes in tactics, the revived Dudear still attempts to deploy the info-stealing Trojan GraceWire.

575
12:29 AM - Jan 31, 2020
Twitter Ads info and privacy

183 people are talking about this



Ранее эта группа распространяла файл Excel во вложениях, включенных в фишинговые сообщения, а затем — через встроенные веб-ссылки. Однако в последние недели группа изменила стратегию и начала рассылать фишинговые письма, которые содержит ссылки на сайты перенаправителей (обычно это сайты, которые ранее были взломаны). В других случаях к электронным письмам прикрепляется HTML-код, содержащий вредоносный тег iframe.

В любом случае, щелкнув по ссылке или вложению, пользователь попадает на сайт, где загружается вредоносный файл. Но происходит это только после завершения CAPTCHA. Цель данного шага — помешать автоматическому анализу, который используют для обнаружения и блокирования атак. Как правило, анализ выполняется ботами, которые загружают образцы вредоносных программ, запускают и анализируют их на виртуальных машинах.

a2naHzbe_normal.webp
Microsoft Security Intelligence

@MsftSecIntel
· Jun 18, 2020

Replying to @MsftSecIntel
In past Dudear campaigns, the group attached malicious Excel files directly in emails. In January, the group started using HTML redirectors that led to a download page. https://twitter.com/MsftSecIntel/status/1222995250911703041 …
Microsoft Security Intelligence

@MsftSecIntel

Dudear (aka TA505/SectorJ04/Evil Corp), used in some of the biggest malware campaigns today, is back in operations this month after a short hiatus. While we saw some changes in tactics, the revived Dudear still attempts to deploy the info-stealing Trojan GraceWire.
a2naHzbe_normal.webp
Microsoft Security Intelligence

@MsftSecIntel

Microsoft researchers continue to monitor CHIMBORAZO, its activities, and evolving methods. Microsoft Threat Protection provides coordinated defense against these evasive campaigns: Office 365 ATP detects malicious URLs in emails, Microsoft Defender ATP blocks files on endpoints.

8
12:00 AM - Jun 18, 2020
Twitter Ads info and privacy

See Microsoft Security Intelligence's other Tweets



В Microsoft окрестили новую кампанию Chimborazo Dudear.

Ранее, в рамках атак в январе, Chimborazo использовала службу отслеживания IP-адресов для отслеживания компьютеров, которые загружают вредоносный файл Excel, предположительно, для того, чтобы также избежать автоматического обнаружения.

Однако это не первый случай, когда CAPTCHA использовали при атаках. О подобном сообщалось в конце декабря.

yIQvw3bO_normal.webp
V1rgul3@Secu0133


papiladesigninc[.]com identified as an Emotet Epoch 2 site is also hosting a @canadapostcorp #Phishing page. Delivering a .vbs dropper (detection 2/60) after completing a fake Google #reCAPTCHA #danabot https://www.hybrid-analysis.com/sample/fd273d44e0cf823542aacdb2d32d1bc09436d1280dbdce705c8bad9a08d98748?environmentId=100 …
EMbRzLEVUAAVKGd?format=jpg&name=360x360.webpEMbRzKhWsAA8t5Q?format=jpg&name=360x360.webp

9
1:57 AM - Dec 23, 2019
Twitter Ads info and privacy

See V1rgul3's other Tweets



Не исключено, что CAPTCHA, обнаруженная Microsoft, может быть поддельной reCAPTCHA.


 
Назад
Сверху Снизу