Microsoft недавно обнаружила атаки, в ходе которых распространялся вредоносный документ Excel. Это происходило на сайте, требующем от пользователей заполнить CAPTCHA. Скорее всего, хакеры пришли к этому, чтобы помешать автоматическому обнаружению сканерами.
Сам файл Excel содержит макросы, которые при включении устанавливают троян GraceWire, который ворует конфиденциальную информацию, например, пароли. Атаки инициировала группа Chimborazo, которую исследователи Microsoft отслеживают с января.
Ранее эта группа распространяла файл Excel во вложениях, включенных в фишинговые сообщения, а затем — через встроенные веб-ссылки. Однако в последние недели группа изменила стратегию и начала рассылать фишинговые письма, которые содержит ссылки на сайты перенаправителей (обычно это сайты, которые ранее были взломаны). В других случаях к электронным письмам прикрепляется HTML-код, содержащий вредоносный тег iframe.
В любом случае, щелкнув по ссылке или вложению, пользователь попадает на сайт, где загружается вредоносный файл. Но происходит это только после завершения CAPTCHA. Цель данного шага — помешать автоматическому анализу, который используют для обнаружения и блокирования атак. Как правило, анализ выполняется ботами, которые загружают образцы вредоносных программ, запускают и анализируют их на виртуальных машинах.
В Microsoft окрестили новую кампанию Chimborazo Dudear.
Ранее, в рамках атак в январе, Chimborazo использовала службу отслеживания IP-адресов для отслеживания компьютеров, которые загружают вредоносный файл Excel, предположительно, для того, чтобы также избежать автоматического обнаружения.
Однако это не первый случай, когда CAPTCHA использовали при атаках. О подобном сообщалось в конце декабря.
Не исключено, что CAPTCHA, обнаруженная Microsoft, может быть поддельной reCAPTCHA.
См. также:
Jogger
Я давно считаю капчи злом и нарушением прав человека. Но тут полный джекпот — капча не просто не помогает от зловредов, но и помогает распространению зловредов. Я испытываю странное удовлетворение, наблюдая за гибнущим миром.
Squoworode
Так ведь капча и не предназначена для спасения человека от зловредов. Она предназначена для спасения человека от роботов, чем успешно занимается в этом случае.
stardust_kid
Скорее роботов от роботов.
syrslava
Londoner
Вот, кстати, надо отмечать все клетки, куда велосипед попал хоть парой пикселей, или только те, куда велосипед попал основательно?
DracoL1ch
Говорят, что алгоритмы гугла нормально относятся к пограничным случаям, опираясь на аналитику предыдущих испытателей. Так что если 50% голосуют за этот квадрат как настоящий, то так и быть
v1000
Да ладно пиксели, я только недавно узнал, почему по несколько каптчей подряд решаю. Оказывается, когда я выбирал все нужные картинки за одну секунду-меня считали роботом. Надо было включить режим «медленного тугодумного человека» и нажимать на каждую картинку с одно-двух секундной задержкой. Тогда все работало как надо с первого раза.
Londoner
Роботам на заметку!
M0Peterson
Captcha это нарушение прав роботов.
algotrader2013
Возможно, double kill, кстати. Что жертва и червя качает, и ещё при этом и разгадывает реальную капчу, за которую хакерам копеечка капнет от тех, кто скрейпингом или брутом занимается.
Londoner
Вопрос в тему — а зачем при отгадывании каптчи «кликай пока все светофоры не пропадут» картинки взамен кликнутых «проявляются» медленно, по секунде-две? Дико выбешивает, а чем это ботам может помешать — непонятно.
algotrader2013
Подозреваю, что апи, отдающее картинки, подтормаживает.
Londoner
Да нет, они специально медленно отрисовываются же. И нет, это не progressive jpeg.
algotrader2013
Кстати. А может они в бекграунде проц грузят и на это надо время берут таким образом? Например, микробенчмарк, результаты которого потом скажут, похожи ли результаты скорости определенных вычислений на устройство, которым прикидывается?
Условно, если iPhone 6 выполняет некую задачу за 5 секунд, а выполнилась она за 3, т, значит, это сервер на х86 прикидывается айфоном?
Pongo
Рекапча ведь опирается на поведенческую аналитику. Если вы для нее «человек», то капча может вообще не появиться, достаточно нажать галочку. А если «робот», то будет усложнять отгадывание, в том числе замедлением.
Как я понимаю, аддоны и настройки браузера, настраивающие приватность, могут способствовать тому, что рекапча думает вы робот.
Вот тут в середине есть небольшое исследование темы github.com/google/recaptcha/issues/268
M0Peterson
Даже использование нестандартного user-agent и подобные манипуляции сильно влияют на прохождение рекапчи.
Когда мне было необходимо ходить на ресурсы с рекапчей через тор, я специально использовал голый гуглохром в виртуалочке и проксировал на внешний тор-инстанс, сильно помогало проходить капчу.
syrslava
Как показывает опыт, нельзя ещё и нажимать на медленно появляющиеся картинки, пока они не достигнут 100% непрозрачности, даже если уже всё видно, иначе капча повторяется.
C_21
У меня провайдер серые ip раздает. Вся улица проклинает гидранты и пешеходные переходы.
Mur81
У меня тоже, но капчу я не помню уже когда видел. Так что дело не [только] в IP.
C_21
Дело еще в гугл аккаунте. Если в браузере залогинен, то капчи тоже практически нет. Но вот дискорд например может капчей до «роскомнадзора» довести.
teecat
То есть это чисто защиты от пересылки некого файла на внешние ресурсы?
От обычного локального антивируса не спасает?