Cybercriminelen gebruiken captcha om detectie malware te omzeilen

Gepubliceerd op 25 juni 2020 om 14:06

Cybercriminelen gebruiken captcha om detectie malware te omzeilen

Jarenlang gebruikten bedrijven captcha's om spammers en andere aanvallers buiten de deur te houden, maar nu hebben onderzoekers een aanval ontdekt waarbij criminelen captcha's gebruiken om de automatische analyse van hun malware te voorkomen. Microsoft bericht op Twitter over de aanvallen van een specifieke groep die het begin juni en afgelopen week waarnam.

Redirector site

De aanvallers versturen een e-mail naar hun slachtoffers die een link naar een 'redirector site' of een html-bijlage bevat. De redirector site is meestal een gecompromitteerde website die het slachtoffer naar de uiteindelijke website doorstuurt. Zodra de link of de html-bijlage wordt geopend belandt de gebruiker op een website waar hij een captcha moet oplossen. Volgens Microsoft moet op deze manier geautomatiseerde analyse van het document door security bedrijven worden voorkomen.

GraceWire-malware

Wanneer de gebruiker de captcha oplost kan hij een Excel-document met een kwaadaardige macro downloaden. Macro's worden standaard door Microsoft Office geblokkeerd. Daarom hebben de aanvallers instructies voor het slachtoffer toegevoegd om macro's in te schakelen. Wanneer dit wordt gedaan zullen de macro's de GraceWire-malware op het systeem installeren, waarmee de aanvallers volledige toegang krijgen.

Werkwijze wijzigen

De aanvallers blijken geregeld hun werkwijze te wijzigen. Eerst werden de kwaadaardige Excel-documenten direct als e-mailbijlage meegestuurd. In januari maakte de groep vervolgens gebruik van html-redirectors die naar de malafide Exel-documenten linkten en nu worden captcha's ingezet om detectie te voorkomen. Volgens de Duitse overheid is er een relatie tussen deze groep aanvallers, die bekendstaat als TA505, en de Clop-ransomware, waardoor de Universiteit Maastricht vorig jaar werd getroffen.

Malware gerelateerd nieuws


«   »