Para evitar ser detectado este malware hasta te pide que completes un CAPTCHA

Cristian Rus

No conozco a nadie que ame los CAPTCHA. Esas letras borrosas y onduladas que tenemos que descifrar siempre que vayamos a realizar una tarea en la web sospechosa de estar automatizada están ahí para evitar a los bots. Sin embargo,ahora hay hasta bots que te piden rellenar CAPTCHAS. El arma usada para menguarelmalware, usada por el propiomalwarea su favor.

Indicael departamento de seguridad de Microsoft que recientemente descubrieron a un nuevo atacante con unmalwareespecialmente peculiar. ¿Por qué? Resulta que se trataba páginas web en las quese requería a los usuarios completar un CAPTCHA. Con esto elmalwarepasaba más desapercibido ya que se supone que si se completa una CAPTCHA los sistemas de detección demalwarepensarán que es un humano y no un programa malicioso. No en este caso.

Microsoft ha estado rastreando desde enero estemalwarebajo el nombre de Chimborazo. Explican que al usuario se le redirige a alguna página maliciosa del atacante mediante algún archivo recibido por correo. Una vez en la página webpide al usuario completar una CAPTCHA antes de descargar el archivomalware. Con esto evitan pasar por el filtro de seguridad al no estar 100% automatizado.

Al parecer el archivo que se suele descargar es un documento Excel. Comentan que una vez abierto el documento de Excel estecontiene en su interior macros que instalan el troyano GraveWire, utilizado para obtener información privada de los dispositivos infectados.

En untweet compartido por Microsoft SecurityIntelligence se puede apreciar cómo salta esta CAPTCHA quele permite almalwareno estar bajo el radar. En ella vemosreCAPTCHA de Googleacompañada de una supuesta protección DDoS de Cloudflare. Estos dos servicios en realidad van por separado y nada tienen que ver entre ellos, por lo que o bien es un sistema totalmente inventado o bien los atacantes los han utilizado por separado y colocado juntos en la web.

Cuestión de ingenio

En cualquiera de los casos el resultado es el mismo: la víctima ingenuamente rellana la CAPTCHA y se descarga el archivo Excel conmalware. Una técnica de lo más ingeniosa parapasar desapercibido como atacante. Eso sí, al parecer no es la primera vez que se utiliza, en diciembre del año pasadoapareció un sistema similardephishingen el que se pedía rellenar un CAPTCHA falso de Google para pasar los filtros de automatización.

En el mundo de la seguridad es como en el juego del gato y el ratón,siempre hay que estar cambiando de técnicas y métodos para no ser pillado(por mucho que se esfuercen las compañías conmétodos ingeniosos también). Los sistemas de ataque malicioso necesitan reinventarse constantemente y encontrar nuevas ideas que no han sido descubiertas aún por las compañías, antivirus o expertos en seguridad. Hacer a la víctima completar CAPTCHAs es un ejemplo de ello, pero puede que en cuestión de semanas o meses ya los atacantes ya lo hayan abandonado en favor de otra cosa aún más ingeniosa.

Vía |TechRadarImagen |Glenn Carstens-Peters