微软安全情报团队于近日曝光了黑客组织 CHIMBORAZO 的新动向,作为 Dudear 和信息窃取木马 GraceWire 的幕后黑手,其再次将目光瞄向了被各大网站用于真人检测的 CAPTCHA 图形验证码。与模糊、扭曲的数字或字母相比,上线十余年的图形验证码能够将许多别有用心者阻挡在外,然而 Chimborazo 却想到了一个更骚的操作。 微软安全情报团队指出,他们从今年 1 月开始的追踪分析发现,该组织有在要求用户完成 CAPTCHA 验证的站点上分发恶意的 Excel 文档。 这个电子表格文件中包含了宏操作,启用后便会在受害者机器上安装可窃取密码等敏感信息的 GraceWire 木马。 此前微软有在网络钓鱼邮件活动中发现 Chimborazo 采取的类似操作(在附件中分发恶意 Excel 文件),然后通过嵌入式的 Web 链接进行传播。 最近几周,该组织开始改变策略,将链接重定向到被破坏的合法站点、或在邮件中包含具有恶意 iframe 标签的 HTML 附件。 无论哪种方式,点击链接或附件都可能导致受害者下载恶意站点上的木马文件,但前提是忽悠人们完成 CAPTCHA 图形验证(通常是为了阻挡机器人)。 这个鬼点子意味着只有真人才会上当,安全研究机构使用的基于自动化分析的传统方案将更加难以检测到它们的不法行为。 微软安全情报小组曾在今年 1 月发现,Chimborazo 在利用 IP 追溯服务来跟踪下载恶意 Excel 文件的计算机的 IP 地址,以进一步逃避自动检测,那时也是微软第一次见到该组织利用此类站点重定向。 Malwarebytes 威胁情报主管 Jérôme Segura 补充道:在恶意软件攻击中使用图形验证码的方式极为罕见,但此前也并非没有先例。 可即便是简化或翻版的 CAPTCHA 方案,也都能达到忽悠真人来下载文件、同时阻止自动化分析的目的。
