Ciberdelincuentes usan CAPTCHA para ocultar phishing y distribuir malware

Las URLs maliciosas protegidas por un CAPTCHA son cada vez más comunes, permitiendo desarrollar ataques phishing más sofisticadas.

Los ciberdelincuentes están utilizando el reCAPTCHA de Google y servicios similares para ocultar varias campañas de suplantación de identidad, entre otras campañas. Sin embargo, esos esfuerzos de evasión pueden estar perdiendo eficacia.

Los CAPTCHA son familiares para la mayoría de los usuarios de Internet como los desafíos que se utilizan para confirmar que son humanos. Como los acertijos de prueba de Turing generalmente implican hacer clic en todas las fotos en una cuadrícula que contienen un determinado objeto, o escribir una palabra presentada como texto borroso o distorsionado.

“Ocultar contenido malicioso detrás de un CAPTCHA evita que los rastreadores de seguridad detecten contenido malicioso y agrega un aspecto legítimo a las páginas de inicio de sesión de phishing”, mencionaba un artículo de Palo Alto Networks.

Aunque está lejos de ser nueva, es una técnica cada vez más popular: solo en el último mes, la empresa encontró 7.572 URL maliciosas únicas en 4.088 dominios de nivel de pago que empleaban el método de ofuscación. Eso es un promedio de 529 nuevas URL maliciosas protegidas por CAPTCHA por día.

«Las estafas de encuestas y loterías son algunas de las páginas de grayware más comunes», según la publicación. «A cambio de un pago falso o la posibilidad de ganar la lotería, el usuario es atraído a revelar información confidencial, incluida la dirección, fecha de nacimiento, información bancaria, ingresos anuales, etc.»

A menudo, estas páginas muestran desafíos de CAPTCHA solo si sospechan de la automatización basada en IP y versiones del navegador, dijeron los investigadores, para que sea lo más fácil posible para los visitantes descuidados. Otra categoría en crecimiento son las páginas de entrega de malware que abusan de los servicios CAPTCHA legítimos.

«Por ejemplo, la URL hxxps: // davidemoscato [.] Com sirve un archivo JAR malicioso que se oculta a los escáneres de seguridad al proteger la página con un desafío CAPTCHA», señalaron los investigadores. La página que alberga el CAPTCHA tendrá sub-solicitudes que se pueden analizar en el HTML, que revelan la clave API de reCAPTCHA utilizada en los parámetros de URL, dijeron los investigadores. Estos identificadores se pueden analizar y buscar en otras páginas.

“Afortunadamente, cuando los actores malintencionados utilizan infraestructura, servicios o herramientas en su ecosistema de sitios web malintencionados, tenemos la oportunidad de aprovechar estos indicadores en su contra. Los identificadores CAPTCHA son un gran ejemplo de tal detección por asociación.

Fuente: blog.nivel4.com

Comments are closed.