Ciberatacantes integran CAPTCHA para ocultar phishing y distribuir malware

Las URL maliciosas protegidas por CAPTCHA se están volviendo cada vez más comunes, permitiendo desarrollar ataques de phishing e infectar con malware. Los ciberatacantes están utilizando el reCAPTCHA de Google, y servicios similares a CAPTCHA falsos para ocultar varias campañas de suplantación de identidad y otras campañas, según investigaciones presentadas en medios recientemente. Sin embargo, […]

Las URL maliciosas protegidas por CAPTCHA se están volviendo cada vez más comunes, permitiendo desarrollar ataques de phishing e infectar con malware.

Los ciberatacantes están utilizando el reCAPTCHA de Google, y servicios similares a CAPTCHA falsos para ocultar varias campañas de suplantación de identidad y otras campañas, según investigaciones presentadas en medios recientemente. Sin embargo, hay indicios de que esos esfuerzos de evasión pueden estar perdiendo eficacia.

Los CAPTCHA son familiares para la mayoría de los usuarios de Internet como los desafíos que se utilizan para confirmar que son humanos. Como los acertijos de prueba de Turing generalmente implican hacer clic en todas las fotos en una cuadrícula que contienen un determinado objeto, o escribir una palabra presentada como texto borroso o distorsionado.

“Ocultar contenido malicioso detrás de un CAPTCHA evita que los rastreadores de seguridad detecten contenido malicioso y agrega un aspecto legítimo a las páginas de inicio de sesión de phishing”, según un artículo de Palo Alto Networks.

Aunque está lejos de ser nueva, es una técnica cada vez más popular: solo en el último mes, la empresa encontró 7.572 URL maliciosas únicas en 4.088 dominios de nivel de pago que empleaban el método de ofuscación. Eso es un promedio de 529 nuevas URL maliciosas protegidas por CAPTCHA por día.

“Las estafas de encuestas y loterías son algunas de las páginas de grayware más comunes”, según la publicación. “A cambio de un pago falso o la posibilidad de ganar la lotería, el usuario es atraído a revelar información confidencial, incluida la dirección, fecha de nacimiento, información bancaria, ingresos anuales, etc.”

A menudo, estas páginas muestran desafíos de CAPTCHA solo si sospechan de la automatización basada en IP y versiones del navegador, dijeron los investigadores, para que sea lo más fácil posible para los visitantes descuidados.

Otra categoría en crecimiento son las páginas de entrega de malware que abusan de los servicios CAPTCHA legítimos.

“Por ejemplo, la URL hxxps: // davidemoscato [.] Com sirve un archivo JAR malicioso que se oculta a los escáneres de seguridad al proteger la página con un desafío CAPTCHA”, señalaron los investigadores.

La página que alberga el CAPTCHA tendrá sub-solicitudes que se pueden analizar en el HTML, que revelan la clave API de reCAPTCHA utilizada en los parámetros de URL, dijeron los investigadores. Estos identificadores se pueden analizar y buscar en otras páginas.

“Vemos que muchas campañas maliciosas reutilizan las claves de servicio CAPTCHA, ya sea para simplificar su infraestructura de malware o para evitar ser bloqueadas por el proveedor legítimo de reCAPTCHA por crear demasiadas cuentas y claves CAPTCHA”, explicaron.

Por ejemplo, en un caso, una página web dirigida a las credenciales de Microsoft utilizó la misma clave que una URL separada utilizada para el phishing de ID de Apple, según el informe.

“Las campañas masivas de phishing y grayware se han vuelto más sofisticadas, utilizando técnicas de evasión para escapar de la detección por rastreadores de seguridad automatizados”, concluyeron los investigadores.

“Afortunadamente, cuando los actores malintencionados utilizan infraestructura, servicios o herramientas en su ecosistema de sitios web malintencionados, tenemos la oportunidad de aprovechar estos indicadores en su contra. Los identificadores CAPTCHA son un gran ejemplo de tal detección por asociación “.