验证码(CAPTCHAs)是网站用来过滤机器人(通常不成功)的那些声音低沉、字母模糊或弯弯曲曲的字谜。现在，这种“挑战-反应”测试很可能会激怒恶意软件攻击的目标。

 

微软最近发现一个攻击组织在一个网站上散布一个恶意的Excel文档，要求用户完成一个验证码，很可能是为了阻止好人的自动检测。Excel文件包含宏，当启用时，安装GraceWire木马，窃取敏感信息，如密码。这些攻击是一个名为Chimborazo的组织所为，微软研究人员至少从1月份开始就一直在跟踪该组织。

 

此前，微软观察到Chimborazo将Excel文件以附件的形式分发到钓鱼邮件中，之后通过嵌入的网络链接传播。最近几周，该组织开始发送钓鱼邮件，这又一次改变了局面。在某些情况下，该加密包含指向重定向站点的链接(通常是已被破坏的合法站点)。在其他情况下，电子邮件有一个包含恶意iframe标记的HTML附件。

 

无论哪种方式，沐鸣开户测速点击链接或附件都会指向目标下载恶意文件的网站，但必须完成验证码(验证码是区分电脑和人的完全自动化公共图灵测试的缩写)。目的:为了阻止自动分析，防御者使用检测和阻止攻击并关闭攻击活动。典型的分析是由本质上下载恶意软件样本并在虚拟机中运行和分析它们的机器人来执行的。

 

要求成功完成验证码意味着只有现场人员下载示例时才会进行分析。如果没有自动化，恶意文件在雷达下传播的可能性会大得多。微软称Chimborazo正在进行的攻击活动为Dudear。

 

微软的安全情报小组周三在推特上写道:“Dudear运动背后的组织钦博拉索(CHIMBORAZO)部署了盗取信息的木马GraceWire，沐鸣开户测速该组织再次改进了他们的方法，以不断逃避检测。”“该组织现在使用带有验证码的网站来避免自动分析。”

 

攻击流是这样的:

 

微软安全情报

 

在该安全情报组织今年1月发起的一项行动中，钦博拉索使用了一项IP追踪服务，来追踪下载恶意Excel文件的机器的IP地址，可能也是为了逃避自动检测。那是微软第一次看到Chimborazo使用重定向网站。

 

安全提供商Malwarebytes的威胁情报主管杰罗姆•塞古拉(Jerome Segura)表示，沐鸣开户测速在恶意软件攻击中使用验证码非常罕见，但并非史无前例。他指出，去年12月下旬的一条推特也在做同样的事情。在这种情况下，攻击者要求目标完成一个验证码，这是对谷歌的reCAPTCHA服务的攻击。虽然它是假的，但它的作用和真文件是一样的——通过需要真人下载文件来阻止自动分析。

 

微软发现的验证码也可能是一个假的验证码。证据:正如这篇文章顶部的图片所示，reCAPTCHA及其下方声称提供“Cloudflare的DDoS保护”。这是两个独立的服务。(不过，正如一位评论者指出的那样，攻击者可能分别使用了这两个服务。)谷歌的代表没有立即回复要求对本文置评的电子邮件。

 

周期性地改变攻击例程是攻击者保持领先于防守者的一种方式，创造了一个永不停止的来回的过程，这需要防守者保持持续的警惕。在接下来的几个月里，攻击集团可能会再次改变路线。