Microsoft kullanıcıların CAPTCHA [1] girmeleri gerektiren bir siteyi kullanarak kötü amaçlı Excel belgesi dağıtan bir saldırı grubu tespit ettiğini açıkladı. Excel dosyası, etkinleştirildiğinde, parola gibi hassas bilgileri çalan bir truva atı olan GraceWire’ı yükleyen makrolar içeriyor.
Saldırılar, Microsoft’un Chimborazo adını verdiği ve şirket araştırmacılarının en az ocak ayından bu yana izlediği bir grubun çalışması olarak tanımlandı. Microsoft, Chimborazo’nun devam eden bu saldırı kampanyasını “Dudear” olarak adlandırdı.
CHIMBORAZO, the group behind Dudear campaigns that deploy the info-stealing Trojan GraceWire, evolved their methods once again in constant pursuit of detection evasion. The group is now using websites with CAPTCHA to avoid automated analysis. pic.twitter.com/Kz3cdwYDd7
— Microsoft Security Intelligence (@MsftSecIntel) June 17, 2020
Daha önce Microsoft, Chimborazo’nun Excel dosyasını kimlik avı iletilerindeki eklerde dağıttığını ve daha sonra gömülü web bağlantıları aracılığıyla yaydığını gözlemlemişti. Son haftalarda, Chimborazo’nun yeniden kimlik avı e-postaları göndermeye başladığı belirtiliyor. Bazı kimlik avı, saldırıları yasal olan ama içine sızılmış sitelere yönlendiren bağlantılar içeriyor. Diğer saldırılarda ise e-postalarda kötü amaçlı bir iframe etiketi içeren HTML ekler raporlandı.
Her iki durumda da, CAPTCHA tamamlandıktan sonra, bağlantıya veya eke tıklamak, hedeflerin kötü amaçlı dosyayı indirdiği bir siteye yönlendiriyor. Böylece saldırıları analiz ederek durduran otomatik savunucuları devre dışı bırakmak mümkün oluyor.
Ocak ayında keşfedilen saldırıda Chimborazo, kötü niyetli Excel dosyasını indiren makinelerin IP adreslerini izlemek için bir IP geri izleme hizmeti kullandı; muhtemelen otomatik algılamadan da kaçındı. O zamanlar Microsoft, Chimborazo’nun yeniden yönlendirme siteleri kullandığını ilk kez gördü.
Periyodik olarak saldırı rutinlerini değiştirmek, saldırganların savunucuların önünde kalmasının bir yoludur ve savunucuların zirvede kalması için sürekli uyanıklık gerektiren asla bitmeyen bir ileri geri süreç oluşturur. Saldırı grubu önümüzdeki aylarda rotayı değiştirecek gibi görünüyor.