據(jù)研究人員稱(chēng)，網(wǎng)絡(luò)攻擊者正在使用谷歌的reCAPTCHA(又稱(chēng) "我不是機(jī)器人 "功能)和類(lèi)似CAPTCHA的虛假的服務(wù)來(lái)偽裝各種網(wǎng)絡(luò)釣魚(yú)攻擊和其他犯罪活動(dòng)。然而，有跡象表明，這些努力可能正在逐漸失去其效力。

CAPTCHA是大多數(shù)互聯(lián)網(wǎng)用戶(hù)熟悉的工具，用來(lái)確認(rèn)用戶(hù)是人類(lèi)。這種類(lèi)似圖靈測(cè)試的工具通常使用戶(hù)點(diǎn)擊網(wǎng)格中所有包含某種物體的照片，或者輸入一個(gè)模糊的或者扭曲的字母或者單詞。

這個(gè)工具的作用是為了防止電子商務(wù)和在線(xiàn)賬戶(hù)網(wǎng)站上的機(jī)器人對(duì)網(wǎng)頁(yè)進(jìn)行訪(fǎng)問(wèn)，它們對(duì)攻擊者也有同樣的作用。

Palo Alto Networks的Unit 42在周五的文章中稱(chēng)，將釣魚(yú)內(nèi)容隱藏在驗(yàn)證碼后面，可以防止安全爬蟲(chóng)檢測(cè)到惡意內(nèi)容，同時(shí)也使得釣魚(yú)登錄頁(yè)面的外觀(guān)看起來(lái)更加的合法。

雖然這不是什么新技術(shù)，但它現(xiàn)在也變得越來(lái)越流行。就在上個(gè)月，該公司在4,088個(gè)付費(fèi)的域名上發(fā)現(xiàn)了7,572個(gè)獨(dú)特的惡意URL，它們都采用了混淆加密的方法。這意味著平均每天就會(huì)出現(xiàn)529個(gè)新的CAPTCHA保護(hù)的惡意URL。

不一般的網(wǎng)絡(luò)釣魚(yú)：新型惡意網(wǎng)址

據(jù)Unit 42稱(chēng)，除了無(wú)休止的一連串的網(wǎng)絡(luò)釣魚(yú)攻擊活動(dòng)外，詐騙活動(dòng)和使用CAPTCHA規(guī)避的惡意網(wǎng)關(guān)也在增加。

問(wèn)卷調(diào)查和彩票詐騙是一些最常見(jiàn)的灰色軟件頁(yè)面，為了換取虛假的付款或中獎(jiǎng)的機(jī)會(huì)，用戶(hù)會(huì)被攻擊者引誘披露敏感的個(gè)人信息，包括地址、出生日期、銀行信息、年收入等。

研究人員說(shuō)，通常情況下，這些網(wǎng)頁(yè)只有在根據(jù)IP和瀏覽器版本認(rèn)為是自動(dòng)化爬蟲(chóng)的情況下才會(huì)顯示驗(yàn)證碼，這樣就可以盡可能多的引誘訪(fǎng)問(wèn)者上當(dāng)。

另一個(gè)不斷增長(zhǎng)的攻擊方式是濫用合法的CAPTCHA服務(wù)的軟件交付頁(yè)面。

例如，URL hxxps://davidemoscato[.com]提供了一個(gè)惡意的JAR文件，通過(guò)用CAPTCHA來(lái)保護(hù)頁(yè)面，這樣就繞過(guò)了安全掃描器。

如何找到受驗(yàn)證碼保護(hù)的惡意網(wǎng)站

Unit 42的研究人員說(shuō)，好消息是，通過(guò)CAPTCHA密鑰的關(guān)聯(lián)，有可能檢測(cè)出釣魚(yú)網(wǎng)頁(yè)。

研究人員說(shuō)，放置驗(yàn)證碼的頁(yè)面會(huì)發(fā)送一些可以在HTML中解析的子請(qǐng)求，這些請(qǐng)求包含了URL參數(shù)中使用的reCAPTCHA API密鑰。這種標(biāo)識(shí)符可以被解析出來(lái)，并在其他頁(yè)面上被搜索到。

他們解釋說(shuō)："我們看到許多惡意攻擊活動(dòng)會(huì)重復(fù)使用CAPTCHA服務(wù)密鑰，要么是為了簡(jiǎn)化他們的惡意軟件基礎(chǔ)設(shè)施，要么是為了避免因創(chuàng)建過(guò)多的CAPTCHA賬戶(hù)和密鑰而被合法的reCAPTCHA供應(yīng)商阻止。”

例如，根據(jù)該報(bào)告，在一個(gè)案例中，一個(gè)對(duì)微軟憑證進(jìn)行竊取的網(wǎng)頁(yè)使用了與用于蘋(píng)果ID網(wǎng)絡(luò)釣魚(yú)的URL相同的密鑰。

研究人員總結(jié)說(shuō)："大規(guī)模的網(wǎng)絡(luò)釣魚(yú)和灰色軟件活動(dòng)目前已經(jīng)變得非常復(fù)雜，它們會(huì)使用逃避技術(shù)來(lái)繞過(guò)自動(dòng)安全爬蟲(chóng)的檢測(cè)。幸運(yùn)的是，當(dāng)惡意行為者在其惡意網(wǎng)站的生態(tài)系統(tǒng)中使用基礎(chǔ)設(shè)施、服務(wù)或工具時(shí)，我們有機(jī)會(huì)利用這些指標(biāo)來(lái)對(duì)付他們。CAPTCHA標(biāo)識(shí)符是這種關(guān)聯(lián)檢測(cè)的一個(gè)很好的例子"。

本文翻譯自：https://threatpost.com/cyberattackers-captchas-phishing-malware/168684/