No conozco a nadie que ame los CAPTCHA. Esas letras borrosas y onduladas que tenemos que descifrar siempre que vayamos a realizar una tarea en la web sospechosa de estar automatizada están ahí para evitar a los bots. Sin embargo, ahora hay hasta bots que te piden rellenar CAPTCHAS. El arma usada para menguar el malware, usada por el propio malware a su favor.
Indica el departamento de seguridad de Microsoft que recientemente descubrieron a un nuevo atacante con un malware especialmente peculiar. ¿Por qué? Resulta que se trataba páginas web en las que se requería a los usuarios completar un CAPTCHA. Con esto el malware pasaba más desapercibido ya que se supone que si se completa una CAPTCHA los sistemas de detección de malware pensarán que es un humano y no un programa malicioso. No en este caso.
Microsoft ha estado rastreando desde enero este malware bajo el nombre de Chimborazo. Explican que al usuario se le redirige a alguna página maliciosa del atacante mediante algún archivo recibido por correo. Una vez en la página web pide al usuario completar una CAPTCHA antes de descargar el archivo malware. Con esto evitan pasar por el filtro de seguridad al no estar 100% automatizado.
Al parecer el archivo que se suele descargar es un documento Excel. Comentan que una vez abierto el documento de Excel este contiene en su interior macros que instalan el troyano GraveWire, utilizado para obtener información privada de los dispositivos infectados.
En un tweet compartido por Microsoft Security Intelligence se puede apreciar cómo salta esta CAPTCHA que le permite al malware no estar bajo el radar. En ella vemos reCAPTCHA de Google acompañada de una supuesta protección DDoS de Cloudflare. Estos dos servicios en realidad van por separado y nada tienen que ver entre ellos, por lo que o bien es un sistema totalmente inventado o bien los atacantes los han utilizado por separado y colocado juntos en la web.
Cuestión de ingenio
En cualquiera de los casos el resultado es el mismo: la víctima ingenuamente rellana la CAPTCHA y se descarga el archivo Excel con malware. Una técnica de lo más ingeniosa para pasar desapercibido como atacante. Eso sí, al parecer no es la primera vez que se utiliza, en diciembre del año pasado apareció un sistema similar de phishing en el que se pedía rellenar un CAPTCHA falso de Google para pasar los filtros de automatización.
En el mundo de la seguridad es como en el juego del gato y el ratón, siempre hay que estar cambiando de técnicas y métodos para no ser pillado (por mucho que se esfuercen las compañías con métodos ingeniosos también). Los sistemas de ataque malicioso necesitan reinventarse constantemente y encontrar nuevas ideas que no han sido descubiertas aún por las compañías, antivirus o expertos en seguridad. Hacer a la víctima completar CAPTCHAs es un ejemplo de ello, pero puede que en cuestión de semanas o meses ya los atacantes ya lo hayan abandonado en favor de otra cosa aún más ingeniosa.