esenfrdeitptru

Descubriendo campañas de phishing protegidas por CAPTCHA

AS-083-2021

Fecha: 16/Agosto/2021

Resumen:

Investigadores de la Unidad 42 han observado varias campañas maliciosas que abusan de los servicios legítimos de desafío y respuesta (como reCAPTCHA de Google) o la implementación de la validación de CAPTCHA.

Observando las 10 claves captcha maliciosas más populares a través de amplias campañas de phishing en el último mes, se bloqueó 7,572 URL únicas en 4,088 dominios de nivel de pago, protegiendo a clientes de visitarlos al menos 202,872 veces. Al mismo tiempo, tales URL son más lentas en aparecer en fuentes maliciosas de terceros, presumiblemente debido a phishing oculto, estafa y otros contenidos maliciosos.

Ejemplo de phishing para credenciales de ID de Apple

Observemos el ejemplo (hxxp://utem[.] com/[.] YSou8XI) de una campaña de phishing de larga duración que se ha monitoreando desde julio de 2020, con el objetivo de Microsoft Outlook, Apple y otras páginas de inicio de sesión. Los usuarios ven el siguiente desafío CAPTCHA cuando visitan la página.

 AS 083 1

Figura 1. Desafío CAPTCHA.

Después de resolver un desafío estándar de reCAPTCHA, el navegador verá una página de phishing clásica, que se muestra en la Figura 2 a continuación. En este ejemplo, el contenido dinámico de Phishing fue generado dinámicamente sobre la misma página, con mayor frecuencia se produce una redirección de nivel superior.

 

AS 083 2
Figura 2. Página de phishing.

Sin embargo, en la página principal (antes de resolver el desafío CAPTCHA), observamos las siguientes sub-solicitudes, que revelan la clave de API reCAPTCHA utilizada en los parámetros de URL:

AS 083 3
Figura 3. Las sub-solicitudes mostradas revelan la clave de API reCAPTCHA utilizada en los parámetros de URL.

Tales identificadores se pueden analizar y buscar en otras páginas, lo que nos da la capacidad de encontrar otras páginas de phishing. Por ejemplo, una página web que usaba el mismo ID también estaba presionando el phishing de ID de Apple.

AS 083 4

Figura 4. Phishing para credenciales de ID de Apple.

Alternativamente, las claves CAPTCHA se pueden extraer de HTML. El ejemplo que se muestra a continuación se utilizó en otra campaña reciente de phishing de Outlook:

AS 083 5

Figura 5. HTML de una reciente campaña de phishing de Outlook.

Tales claves CAPTCHA son una señal fuerte para la detección de páginas maliciosas, incluso sin obtener contenido de phishing. Por otra parte, las claves maliciosas de CAPTCHA se pueden extraer automáticamente utilizando datos verdaderos. Sin embargo, se observa de que tales páginas maliciosas sofisticadas son lentos para aparecer.

Ejemplo de phishing de Microsoft.

Aquí se observa op[.] g2yu-bere[.] xyz/?e=c2Nhc2VAY2l0Y28uY29t, donde un atacante está intentando sustraer las credenciales de la cuenta Microsoft. El desafío CAPTCHA hace que parezca legítimo tanto para los usuarios como para los escáneres de seguridad. Después de que el usuario resuelve el CAPTCHA, el atacante intenta sustraer las credenciales de Office 365 del usuario.

 

AS 083 6
Figura 6. Página de phishing protegida por CAPTCHA.

Otros métodos de detección.


Se observa que las IDs de CAPTCHA a menudo no son la única señal en los sitios detectados. Además de los identificadores, podemos utilizar algunos otros métodos para detectar estos sitios maliciosos.

Análisis de URL estáticas: En algunos casos, podemos identificar sitios maliciosos con solo mirar la URL. Muchas campañas reutilizan patrones de URL similares, dominios relacionados, IPs u otras señales. Basado en ejemplos anteriores vistos con el mismo patrón que la URL, runswift-besthighlyfile[.]mejor /ZW2RR5af4KcKjjWeJS2qTOgg92QyTjh7NL0_4Yv8R98, podemos marcarlo malicioso.

Análisis de tráfico: En algunos casos, podemos buscar en el tráfico HTML en busca de actividad maliciosa. Por ejemplo, la página maliciosa, https:/syans2008[.] 3dn[.] ru/news/barbi_princessa_rapuncel_skachat_igru/2013-10-23-1705, se puede detectar con el ID de CAPTCHA, 6LcpAwsUAAAAAPif4MyLJQVv7r5Nr1Wv31NB86C6, o con la regla YARA a continuación.

Rule Rule {
Strings:
$s 1 = "100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 117, 114, 114, 101, 110, 116, 83, 99, 114, 105, 112, 116, 46, 112, 97, 114, 101, 110, 116, 78, 111, 100, 101, 46, 105, 110, 115, 101, 114, 116, 66, 101, 102, 111, 114, 101, 40, 115, 44, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99,117, 114, 114, 101, 110, 116, 83, 99, 114, 105, 112, 116, 41" $s 2 = "document.currentScript.parentNode.insertBefore(s, document.currentScript)" $s 3 = "s=d.createElement('script')" condición: $s 1 o ($s 2 y $s 3) }

Al simular el comportamiento del lado del cliente, observamos el tráfico HTML con (SHA256: 781e16b89604cdcd37928009920654628cc95f6e1b34916fd47b880ff3c7cc92) que la página havnsardf[.] ga carga. La regla YARA anterior puede descubrir muchos casos de inyecciones o descargas maliciosas de JavaScript.

Este comportamiento de ejecución se ve generalmente en situaciones en las que los atacantes se han apoderado de un servidor web y tienen la intención de inyectar JavaScript malicioso desde sus servidores en el servidor web de la víctima.

Uso del análisis de contenido: En algunos casos, el contenido de phishing malicioso ya está presente en el HTML, pero simplemente no se muestra, o se utiliza un CAPTCHA personalizado / falso. Tales páginas suelen ser ricas en JavaScript, y detectables con el análisis malicioso de JavaScript. Por ejemplo, el sitio malicioso, yourstorecentre[.] com, protegido por CAPTCHA ID, 6LcA2tEZAAAAAJj7FTYTF9cZ4NL3ShgBCBfkWov0, contiene el JS malicioso con SHA256: 68687db7ae5029f534809e3a41f288ec4e2718c0bbdefdf45ad6575b69fed823, que se muestra como malicioso cuando se analiza.

Conclusión.

Las campañas masivas de phishing y grayware se han vuelto más sofisticadas, utilizando técnicas de evasión para escapar de la detección por parte de rastreadores de seguridad automatizados. Afortunadamente, cuando los actores maliciosos utilizan infraestructura, servicios o herramientas en todo su ecosistema de sitios web maliciosos, tenemos la oportunidad de aprovechar estos indicadores contra ellos. Los identificadores CAPTCHA son un gran ejemplo de dicha detección por asociación.
Los IDs de CAPTCHA como un ejemplo de un indicador malicioso, se lo usa para detectar phishing, malware y páginas de grayware.

Firmas.

Lista de las 10 firmas de identificación de Captcha más populares para el período del 18 de abril al 18 de mayo:
6LcEthAUAAAAANLeILVZiZpPDbVwyoQuQ7c3qlsy
6LcJK64UAAAAAKwjDYyWpakQ_5aFAb34tK-EkiDA 6Le-dsYUAAAAABJa32oIuo9LEPsur7OcBz-a9kyL
6LfKnxEUAAAAAO1iXBX9FqL0w-68XqXGl3UPBF5p
6Lc8-cQUAAAAAF60sMK0PjhPOA6ciyzy6cfnGcl0
6LeihuEUAAAAAEgMEgMRhYQKQCxnJvsqIZnRghJAPcH
6LezpHMUAAAAALunasQAvKdhRwFC1oqRE0OZW8f4
6LdkVo0aAAAAAN5yxjGbJPH39rF--s6ZVsl_LxzE
6LdVFrgUAAAAAEMNq1ljl8HZSQ2sA8Hu6a8umPQr
6LfrPbMUAAAAAF2DLXNWH8-s0Ln08lXtaX9k1tRC
Indicadores de compromiso
La lista de todos los IOC se puede encontrar en GitHub.

Referencia:

https://unit42.paloaltonetworks.com/captcha-protected-phishing/