El Test de Turing Completamente Automático y Público para Diferenciar Humanos y Computadoras, popularmente conocido como CAPTCHA, es un sistema para la creación de desafíos que deben completarse antes de avanzar en un sitio web. Acorde a especialistas en auditorías de sistemas, la principal función de un desafío CAPTCHA es impedir que los hackers usen bots automatizados para acceder a determinado contenido pues, en teoría, sólo un ser humano puede resolver uno de estos desafíos.
Esto no significa que un CAPTCHA esté exento de algún inconveniente de seguridad. Un reporte de la compañía de seguridad Cofense informa sobre una nueva campaña de phishing que, usando cajas de CAPTCHA, oculta una página falsa de inicio de sesión en Microsoft.
Acorde a los expertos en auditorías de sistemas, los operadores de esta campaña maliciosa emplean el CAPTCHA para evitar que en análisis anti malware en un sistema se realice de forma correcta, por lo que no será posible comprobar si una página web fue hecha para extraer credenciales de los visitantes.
Muchas compañías recurren al uso de Secure Email Gateways (SEG) para analizar sus correos electrónicos entrantes en busca de malware o indicios de otras variantes de ataque. La cuestión es que SEG no es lo suficientemente sofisticado para resolver un CAPTCHA y, como esta no es una variante de ataque conocida, los vendedores de SEG no cuentan con la protección adecuada.
“Los SEG no pueden escanear la página maliciosa, sólo el sitio del código CAPTCHA, que no contiene elementos maliciosos, así que el SEG lo etiqueta como contenido seguro y permite que el usuario avance”, mencionan los expertos en auditorías de sistemas. Cuando el destinatario del email resuelve el desafío CAPTCHA, recibe una página falsa de inicio de sesión de Microsoft que registrará las credenciales de acceso a sus cuentas de la compañía.
Los especialistas detectaron que la dirección email desde donde es enviado el enlace de phishing es una cuenta de correo de avis.ne.jp que ha sido secuestrada por los operadores de la campaña. El mensaje pretende ser una notificación sobre un mensaje de correo de voz; tanto la página de phishing como el CAPTCHA usado por los atacantes se encuentran alojados en servidores en la nube de Microsoft.
Esta clase de ataques dificulta que las personas o escáneres automáticos puedan detectar que una página no es legítima. La tecnología SEG se enfoca normalmente en la reputación del dominio desde donde se envía un email; en este caso, debido a que el malware está alojado en un servidor en la nube de Microsoft, es fácil para los atacantes esquivar esta medida de protección.
Expertos en auditorías de sistemas del Instituto Internacional de Seguridad Cibernética (IICS) se dicen preocupados por la capacidad que han mostrado los actores de amenazas para revertir técnicas normalmente usadas en su contra para sacar ventaja sobre sus víctimas. En este caso se han aprovechado del uso del CAPTCHA, pero también han demostrado ser capaces de explotar cifrado HTTPS, firmas criptográficas y otras medidas de protección para interrumpir el análisis anti malware.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad