Esconden una web de phishing tras captchas para evitar que los antivirus la detecten

Grupo de atacantes maliciosos introduce un Captcha antes de la página de phishing, para evitar que los antivirus detecten la estafa.

El mayor negocio en la actualidad en internet es el robo de datos personales y credenciales de acceso de usuarios. Los crackers cada vez se están volviendo más sofisticados y crean nuevos modos de robo de datos. Cofense, una compañía de seguridad informática ha detectado una nueva campaña de phishing. Esta campaña se basa en las cajas de Captcha que ocultan una página de inicio de sesión falsa en Microsoft de las puertas de enlace de correo electrónico seguras (SEG)

Los Captcha son herramientas de seguridad para evitar el acceso de bots a páginas web. Estas crean palabras borrosas o imágenes de un objeto que se deben completar para acceder a la web. Están configurados para que los bots no lo puedan rebasar y evitar el spam o acceso intrusivos en webs.

Usan el Captcha para una campaña de phishing

Un grupo de atacantes maliciosos ha generado una campaña de suplantación de identidad protegida por un Captcha. Esto impide al antivirus detectar si la página que se esconde tras este Captcha contiene una web que puede robar nuestras credenciales. Lógicamente el antivirus no puede sobrepasar esta medida de seguridad y ver qué se esconde detrás.

Todas las empresas de seguridad verifican los enlaces de correo electrónico seguro (SEG). Buscan cualquier indicio de redirección hacía una web de malware o de phishing. El problema es que los SEG no pueden rebasar los sistemas Captcha. Dicha medida jamás había sido implementada hasta la fecha y por eso las empresas que gestionan SEG se han visto sorprendidas. Las herramientas actuales no están preparadas para enfrentarse al filtro contra robots.

“El SEG no puede proceder y escanear la página maliciosa, solo el sitio del código Captcha. Esta página web no contiene ningún elemento malicioso, por lo que el SEG lo marca como seguro y permite que el usuario pase”, indican los investigadores de Cofense.

Fuertes contramedidas para evitar ser detectados

Después de pasar el sistema contra robots, el usuario tiene delante una web falsa de Microsoft para el phishing. Además, el correo procede de una dicción de correo electrónico secuestrada de deavis.ne.jp. Lo más gracioso de todo es que los Captcha y la página de phishing estan alojados en los servicios en la nube de Microsoft.

Los atacantes no hacen esto solo para molestar a Microsoft, también para dificultar la detección por parte de humanos y herramientas de escaneo automáticas. La SEG mira la reputación del dominio del enlace en el correo. Si este está en los servidores en la nube públicos de Microsoft, se pasa la prueba de reputación sin problemas.

Cada vez los atacantes están creando herramientas y técnicas más sofisticadas para desplegar el malware. Elementos como la criptografía, el cifrado HTTPS y ahora los Captcha son cada vez más usados para sortear los escáneres automáticos. Hasta los sistemas contra el malware con IA caen ante todas estas artimañas.

Fuente: TH

Salir de la versión móvil