微軟安全情報團隊于近日曝光了黑客組織CHIMBORAZO的新動向：

作為Dudear和信息竊取木馬GraceWire的幕后黑手，其再次將目光瞄向了被各大網站用于真人檢測的CAPTCHA圖形驗證碼。

與模糊、扭曲的數字或字母相比，上線十余年的圖形驗證碼能夠將許多別有用心者阻擋在外，然而Chimborazo卻想到了一個更騷的操作。

微軟安全情報團隊指出，他們從今年1月開始的追蹤分析發現，該組織有在要求用戶完成CAPTCHA驗證的站點上分發惡意的Excel文檔。

這個電子表格文件中包含了宏操作，啟用后便會在受害者機器上安裝可竊取密碼等敏感信息的GraceWire木馬。

此前微軟有在網絡釣魚郵件活動中發現Chimborazo采取的類似操作（在附件中分發惡意Excel文件），然后通過嵌入式的Web鏈接進行傳播。

最近幾周，該組織開始改變策略，將鏈接重定向到被破壞的合法站點、或在郵件中包含具有惡意iframe標簽的HTML附件。

無論哪種方式，點擊鏈接或附件都可能導致受害者下載惡意站點上的木馬文件，但前提是忽悠人們完成CAPTCHA圖形驗證（通常是為了阻擋機器人）。

這個鬼點子意味著只有真人才會上當，安全研究機構使用的基于自動化分析的傳統方案將更加難以檢測到它們的不法行為。

微軟安全情報小組曾在今年1月發現，Chimborazo在利用IP追溯服務來跟蹤下載惡意Excel文件的計算機的IP地址，以進一步逃避自動檢測，那時也是微軟第一次見到該組織利用此類站點重定向。

Malwarebytes威脅情報主管Jér?meSegura補充道：在惡意軟件攻擊中使用圖形驗證碼的方式極為罕見，但此前也并非沒有先例。

可即便是簡化或翻版的CAPTCHA方案，也都能達到忽悠真人來下載文件、同時阻止自動化分析的目的。