攻击者利用验证码来隐藏网络钓鱼链接和恶意软件
2021-11-03
来源:嘶吼专业版
据研究人员称,网络攻击者正在使用谷歌的reCAPTCHA(又称 “我不是机器人 ”功能)和类似CAPTCHA的虚假的服务来伪装各种网络钓鱼攻击和其他犯罪活动。然而,有迹象表明,这些努力可能正在逐渐失去其效力。
CAPTCHA是大多数互联网用户熟悉的工具,用来确认用户是人类。这种类似图灵测试的工具通常使用户点击网格中所有包含某种物体的照片,或者输入一个模糊的或者扭曲的字母或者单词。
这个工具的作用是为了防止电子商务和在线账户网站上的机器人对网页进行访问,它们对攻击者也有同样的作用。
Palo Alto Networks的Unit 42在周五的文章中称,将钓鱼内容隐藏在验证码后面,可以防止安全爬虫检测到恶意内容,同时也使得钓鱼登录页面的外观看起来更加的合法。
虽然这不是什么新技术,但它现在也变得越来越流行。就在上个月,该公司在4,088个付费的域名上发现了7,572个独特的恶意URL,它们都采用了混淆加密的方法。这意味着平均每天就会出现529个新的CAPTCHA保护的恶意URL。
不一般的网络钓鱼:新型恶意网址
据Unit 42称,除了无休止的一连串的网络钓鱼攻击活动外,诈骗活动和使用CAPTCHA规避的恶意网关也在增加。
问卷调查和彩票诈骗是一些最常见的灰色软件页面,为了换取虚假的付款或中奖的机会,用户会被攻击者引诱披露敏感的个人信息,包括地址、出生日期、银行信息、年收入等。
研究人员说,通常情况下,这些网页只有在根据IP和浏览器版本认为是自动化爬虫的情况下才会显示验证码,这样就可以尽可能多的引诱访问者上当。
另一个不断增长的攻击方式是滥用合法的CAPTCHA服务的软件交付页面。
例如,URL hxxps://davidemoscato[.com]提供了一个恶意的JAR文件,通过用CAPTCHA来保护页面,这样就绕过了安全扫描器。
如何找到受验证码保护的恶意网站
Unit 42的研究人员说,好消息是,通过CAPTCHA密钥的关联,有可能检测出钓鱼网页。
研究人员说,放置验证码的页面会发送一些可以在HTML中解析的子请求,这些请求包含了URL参数中使用的reCAPTCHA API密钥。这种标识符可以被解析出来,并在其他页面上被搜索到。
他们解释说:“我们看到许多恶意攻击活动会重复使用CAPTCHA服务密钥,要么是为了简化他们的恶意软件基础设施,要么是为了避免因创建过多的CAPTCHA账户和密钥而被合法的reCAPTCHA供应商阻止。”
例如,根据该报告,在一个案例中,一个对微软凭证进行窃取的网页使用了与用于苹果ID网络钓鱼的URL相同的密钥。
研究人员总结说:“大规模的网络钓鱼和灰色软件活动目前已经变得非常复杂,它们会使用逃避技术来绕过自动安全爬虫的检测。幸运的是,当恶意行为者在其恶意网站的生态系统中使用基础设施、服务或工具时,我们有机会利用这些指标来对付他们。CAPTCHA标识符是这种关联检测的一个很好的例子”。