黑客為何想到動用圖形驗證碼來忽悠受害者下載惡意軟件？

微軟安全情報團隊于近日曝光了黑客組織 CHIMBORAZO 的新動向：

作為 Dudear 和信息竊取木馬 GraceWire 的幕后黑手，其再次將目光瞄向了被各大網(wǎng)站用于真人檢測的 CAPTCHA 圖形驗證碼。

與模糊、扭曲的數(shù)字或字母相比，上線十余年的圖形驗證碼能夠?qū)⒃S多別有用心者阻擋在外，然而 Chimborazo 卻想到了一個更騷的操作。

微軟安全情報團隊指出，他們從今年 1 月開始的追蹤分析發(fā)現(xiàn)，該組織有在要求用戶完成 CAPTCHA 驗證的站點上分發(fā)惡意的 Excel 文檔。

這個電子表格文件中包含了宏操作，啟用后便會在受害者機器上安裝可竊取密碼等敏感信息的 GraceWire 木馬。

此前微軟有在網(wǎng)絡(luò)釣魚郵件活動中發(fā)現(xiàn) Chimborazo 采取的類似操作（在附件中分發(fā)惡意 Excel 文件），然后通過嵌入式的 Web 鏈接進行傳播。

最近幾周，該組織開始改變策略，將鏈接重定向到被破壞的合法站點、或在郵件中包含具有惡意 iframe 標簽的 HTML 附件。

無論哪種方式，點擊鏈接或附件都可能導致受害者下載惡意站點上的木馬文件，但前提是忽悠人們完成 CAPTCHA 圖形驗證（通常是為了阻擋機器人）。

這個鬼點子意味著只有真人才會上當，安全研究機構(gòu)使用的基于自動化分析的傳統(tǒng)方案將更加難以檢測到它們的不法行為。

微軟安全情報小組曾在今年 1 月發(fā)現(xiàn)，Chimborazo 在利用 IP 追溯服務(wù)來跟蹤下載惡意 Excel 文件的計算機的 IP 地址，以進一步逃避自動檢測，那時也是微軟第一次見到該組織利用此類站點重定向。

Malwarebytes 威脅情報主管 Jér?me Segura 補充道：在惡意軟件攻擊中使用圖形驗證碼的方式極為罕見，但此前也并非沒有先例。

可即便是簡化或翻版的 CAPTCHA 方案，也都能達到忽悠真人來下載文件、同時阻止自動化分析的目的。