据研究人员介绍,网络攻击者正在使用谷歌reCAPTCHA(又称 "我不是机器人 "功能)和类似CAPTCHA伪装各种网络钓鱼攻击等犯罪活动的虚假服务。然而,有迹象表明,这些努力可能会逐渐失去效力。
CAPTCHA它是大多数互联网用户熟悉的确认用户是人类的工具。这种类似图灵测试的工具通常允许用户点击网格中包含某个物体的所有照片,或输入模糊或扭曲的字母或单词。
该工具的作用是防止电子商务和在线账户网站上的机器人访问网页,对攻击者也有同样的作用。
Palo Alto Networks的Unit 42在周五的一篇文章中说,将钓鱼内容隐藏在验证码后面,可以防止安全爬虫检测到恶意内容,使钓鱼登录页面的外观看起来更合法。
虽然这不是一项新技术,但它现在越来越流行了。就在上个月,该公司在4088个付费域名上发现了7572个独特的恶意URL,它们都采用了混淆加密的方法。这意味着每天平均有529个新的CAPTCHA保护的恶意URL。
不寻常的网络钓鱼:新的恶意网站
据Unit 42说,除了一系列无休止的网络钓鱼攻击活动外,欺诈活动和使用CAPTCHA恶意网关的规避也在增加。
问卷调查和彩票欺诈是最常见的灰色软件页面。为了换取虚假的付款或中奖机会,用户将被攻击者诱惑披露敏感的个人信息,包括地址、出生日期、银行信息、年收入等。
研究人员说,通常这些网页只是基于IP和浏览器版本认为是自动化爬虫的情况下才会显示验证码,这样就可以尽可能多的引诱访问者上当。
另一种不断增长的攻击方式是滥用法律CAPTCHA服务软件交付页面。
例如,URL hxxps://davidemoscato[.com]提供恶意JAR通过使用文件CAPTCHA保护页面,绕过安全扫描器。
如何找到受验证码保护的恶意网站?
Unit 42的研究人员说,好消息是,通过CAPTCHA钓鱼网页可以检测到密钥的关联。
研究人员说,放置验证码的页面会发送一些页面HTML包括中分析的子请求URL使用参数reCAPTCHA API密钥。这个标识符可以在其他页面上分析和搜索。
他们解释说:"我们可以看到许多恶意攻击复使用CAPTCHA服务密钥要么简化其恶意软件基础设施,要么避免创建过多CAPTCHA账户和密钥是合法的reCAPTCHA供应商阻止。”
例如,根据该报告,在一个案例中,一个窃取微软凭证的网页被用于苹果ID网络钓鱼的URL相同的密钥。
研究人员总结说:"目前,大规模的网络钓鱼和灰色软件活动已经变得非常复杂,他们将使用逃生技术绕过自动安全爬虫检测。幸运的是,当恶意行为者在恶意网站的生态系统中使用基础设施、服务或工具时,我们有机会使用这些指标来对付它们。CAPTCHA标识符是这种相关检测的好例子"。
本文翻译自:https://threatpost.com/cyberattackers-captchas-phishing-malware/168684/