微軟安全情報團隊于近日曝光了黑客組織 CHIMBORAZO 的新動向,作為 Dudear 和信息竊取木馬 GraceWire 的幕后黑手,其再次將目光瞄向了被各大網站用于真人檢測的 CAPTCHA 圖形驗證碼。與模糊、扭曲的數字或字母相比,上線十余年的圖形驗證碼能夠將許多別有用心者阻擋在外,然而 Chimborazo 卻想到了一個更騷的操作。
 
微軟安全情報團隊指出,他們從今年 1 月開始的追蹤分析發現,該組織有在要求用戶完成 CAPTCHA 驗證的站點上分發惡意的 Excel 文檔。
 
這個電子表格文件中包含了宏操作,啟用后便會在受害者機器上安裝可竊取密碼等敏感信息的 GraceWire 木馬。
 
此前微軟有在網絡釣魚郵件活動中發現 Chimborazo 采取的類似操作(在附件中分發惡意 Excel 文件),然后通過嵌入式的 Web 鏈接進行傳播。
 
最近幾周,該組織開始改變策略,將鏈接重定向到被破壞的合法站點、或在郵件中包含具有惡意 iframe 標簽的 HTML 附件。
 
無論哪種方式,點擊鏈接或附件都可能導致受害者下載惡意站點上的木馬文件,但前提是忽悠人們完成 CAPTCHA 圖形驗證(通常是為了阻擋機器人)。
 
這個鬼點子意味著只有真人才會上當,安全研究機構使用的基于自動化分析的傳統方案將更加難以檢測到它們的不法行為。
 
微軟安全情報小組曾在今年 1 月發現,Chimborazo 在利用 IP 追溯服務來跟蹤下載惡意 Excel 文件的計算機的 IP 地址,以進一步逃避自動檢測,那時也是微軟第一次見到該組織利用此類站點重定向。
 
Malwarebytes 威脅情報主管 Jérôme Segura 補充道:在惡意軟件攻擊中使用圖形驗證碼的方式極為罕見,但此前也并非沒有先例。
 
可即便是簡化或翻版的 CAPTCHA 方案,也都能達到忽悠真人來下載文件、同時阻止自動化分析的目的。