Jarenlang gebruikten bedrijven captcha's om spammers en andere aanvallers buiten de deur te houden, maar nu hebben onderzoekers een aanval ontdekt waarbij criminelen captcha's gebruiken om de automatische analyse van hun malware te voorkomen. Microsoft bericht op Twitter over de aanvallen van een specifieke groep die het begin juni en afgelopen week waarnam.
We started observing these campaigns in early June, but we saw them surge this week. The emails contain either a link to a redirector site (typically a compromised website) or an HTML attachment with a malicious URL in iframe. Both methods lead to the website with CAPTCHA. pic.twitter.com/yRh5fvdJ5D
— Microsoft Security Intelligence (@MsftSecIntel) June 17, 2020
Redirector site
De aanvallers versturen een e-mail naar hun slachtoffers die een link naar een 'redirector site' of een html-bijlage bevat. De redirector site is meestal een gecompromitteerde website die het slachtoffer naar de uiteindelijke website doorstuurt. Zodra de link of de html-bijlage wordt geopend belandt de gebruiker op een website waar hij een captcha moet oplossen. Volgens Microsoft moet op deze manier geautomatiseerde analyse van het document door security bedrijven worden voorkomen.
GraceWire-malware
Wanneer de gebruiker de captcha oplost kan hij een Excel-document met een kwaadaardige macro downloaden. Macro's worden standaard door Microsoft Office geblokkeerd. Daarom hebben de aanvallers instructies voor het slachtoffer toegevoegd om macro's in te schakelen. Wanneer dit wordt gedaan zullen de macro's de GraceWire-malware op het systeem installeren, waarmee de aanvallers volledige toegang krijgen.
Werkwijze wijzigen
De aanvallers blijken geregeld hun werkwijze te wijzigen. Eerst werden de kwaadaardige Excel-documenten direct als e-mailbijlage meegestuurd. In januari maakte de groep vervolgens gebruik van html-redirectors die naar de malafide Exel-documenten linkten en nu worden captcha's ingezet om detectie te voorkomen. Volgens de Duitse overheid is er een relatie tussen deze groep aanvallers, die bekendstaat als TA505, en de Clop-ransomware, waardoor de Universiteit Maastricht vorig jaar werd getroffen.
Dudear (aka TA505/SectorJ04/Evil Corp), used in some of the biggest malware campaigns today, is back in operations this month after a short hiatus. While we saw some changes in tactics, the revived Dudear still attempts to deploy the info-stealing Trojan GraceWire.
— Microsoft Security Intelligence (@MsftSecIntel) January 30, 2020
Beware of Excel spreadsheets with malicious macros 📊☠️ from #Dudear / #TA505 / #SectorJ04 / #EvilCorp dropping malware like #GraceWire / #FlawedGrace trojan after enabling macros. The #Clop ransomware is associated with the threat actors, too. https://t.co/3on3b87yAC
— CERT-Bund (@certbund) February 1, 2020
Malware gerelateerd nieuws