Tin tặc lợi dụng CAPTCHA để phát tán tệp tin độc hại

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi Thriuenug, 19/06/20, 11:06 AM.

  1. Thriuenug

    Thriuenug Moderator Thành viên BQT

    Tham gia: 29/08/19, 03:08 AM
    Bài viết: 24
    Đã được thích: 9
    Điểm thành tích:
    3
    CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) - Phép thử Turing công cộng hoàn toàn tự động để phân biệt máy tính với người. Đó cơ bản là bài kiểm tra về mức độ chính xác trong phản hồi (các giao thức bao gồm một bên đặt câu hỏi và một bên đưa ra câu trả lời hợp lệ và được xác thực) nhằm phân biệt người dùng (người đang cố gắng truy cập vào trang web) là con người hay robot. Giờ đây, Hacker đã sử dụng chúng để phục vụ cho các cuộc tấn công phần mềm độc hại.
    attack-captcha-800x643.png
    Microsoft gần đây đã phát hiện một nhóm tấn công phát tán tài liệu Excel độc hại trên trang web yêu cầu người dùng hoàn thành CAPTCHA. Tệp Excel chứa các Macro mà khi mở lên, sẽ cài đặt GraceWire – trojan đánh cắp thông tin nhạy cảm như mật khẩu. Các nhà nghiên cứu đã theo dõi kể từ tháng một và nhóm tin tặc đó được gọi là Chimborazo.

    Trước đây, Microsoft đã quan sát Chimborazo phân phối tệp Excel trong các tệp đính kèm có trong mail lừa đảo và sau đó lan truyền qua các liên kết Web nhúng. Vài tuần gần đây, nhóm tin tặc đã bắt đầu gửi email lừa đảo 1 lần nữa. Email có chứa liên kết dẫn đến các trang web chuyển hướng (thường là các trang hợp pháp đã bị xâm phạm). Trong trường hợp khác, các email có tệp đính kèm HTML có chứa thẻ iframe độc hại.

    Dù bằng cách nào, việc click vào liên kết hoặc tệp đính kèm sẽ dẫn đến một trang web nơi nạn nhân tải xuống tệp độc hại, nhưng chỉ tải được sau khi hoàn thành CAPTCHA. Mục đích: để ngăn chặn các tool tự động phân tích và phát hiện ra các nguy cơ an ninh mạng của các cuộc tấn công và ngăn chặn chúng. Thông thường, các tool sẽ tải xuống các mẫu phần mềm độc hại và chạy phân tích chúng trong máy ảo.

    Microsoft đặt tên cho chiến dịch tấn công này là Chimborazo là Dudear. Nhóm tin tặc này triển khai Trojan GraceWire đánh cắp thông tin. Lần này nhóm sử dụng các trang web có CAPTCHA để tool phân tích tự động.
    Untitled.png

    Luồng tấn công:
    chimborazo-attack-chain.jpeg

    Đầu tháng 1, lần đầu tiên nhóm Chimborazo sử dụng các trang web chuyển hướng và dịch vụ truy vết IP để theo dõi IP của các máy tải xuống tệp Excel độc hại. Nhưng lần này, nhóm đã sử dụng CAPTCHA trong cuộc tấn công của mình. Jérôme Segura, người đứng đầu bộ phận tình báo của Malwarebytes cho biết hành vi tấn công như trên rất hiếm nhưng không phải chưa từng có, hồi cuối tháng 12 cũng đã phát hiện trường hợp tương tự.

    Nhóm Hacker sử dụng dịch vụ reCAPTCHA của Google và giả mạo rằng đang cung cấp dịch vụ ngăn chặn DDoS bởi Cloudflare "DDoS protection by Cloudflare." như ảnh trên đầu.

    Thay đổi hành vi tấn công là cách những nhóm tin tặc vượt qua được các lớp bảo mật, tạo ra một quá trình qua lại mà không bao giờ kết thúc. Chúng ta cần phải đề phòng và có khả năng nhóm Hacker này sẽ thay đổi hướng đi một lần nữa.
    Theo arsTECHNICA
     
    Chỉnh sửa cuối: 19/06/20, 08:06 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan