Mimecast Logo
Obtenga un presupuesto

    Ofuscación de JavaScript y Captcha

    10 de marzo de 2025

    Por Rikesh Vekaria

    Puntos clave

    Qué aprenderá en esta notificación

    • Las operaciones de amenazas están implementando sofisticadas medidas anti-análisis dentro de las páginas CAPTCHA para evadir la detección y evitar la investigación.
    • Las páginas maliciosas detectan activamente las herramientas de seguridad y redirigen a destinos inocuos cuando se identifican, evitando el escrutinio de los sistemas automatizados.
    • La verificación CAPTCHA crea una falsa sensación de seguridad para los usuarios, al tiempo que impide que los equipos de seguridad examinen el contenido oculto de recopilación de credenciales.

    Mensajes generados por IA

    Los investigadores de amenazas de Rikesh Vekaria y Mimecast han identificado recientemente que los operadores de amenazas están evolucionando sus tácticas de phishing mediante la implementación de medidas anti-análisis dentro de las páginas CAPTCHA para evadir la detección y evitar la investigación por parte de los profesionales de la seguridad. Esto se basa en la investigación de los investigadores de seguridad de Juniper Labs, que identificaron dos enfoques principales de phishing basados en CAPTCHA que se están utilizando. El primero consiste en comprometer dominios legítimos con implementaciones reales de CAPTCHA, mientras que el segundo consiste en crear páginas CAPTCHA falsas que imitan de forma convincente las interfaces legítimas de Cloudflare Turnstile. Ambos métodos sirven como una puerta de entrada efectiva a las páginas de recolección de credenciales.

    Lo que hace que estas campañas sean especialmente preocupantes es la implementación de técnicas avanzadas de evasión diseñadas específicamente para frustrar el análisis de seguridad. Los atacantes han añadido código que impide activamente tanto las herramientas de seguridad automatizadas como la investigación manual por parte de los profesionales de la seguridad.

    Este sofisticado enfoque implica la detección de navegadores sin cabeza, herramientas de web scraping y plataformas de escaneo de seguridad. Cuando se identifican estas herramientas, la página redirige a una página inocua, evitando así el escrutinio de los sistemas de seguridad automatizados. En detecciones recientes analizadas por nuestro equipo de investigación de amenazas, el código resaltado muestra una redirección a una página en blanco, lo que podría engañar al análisis humano inicial.



    TI-notification-javascript-captcha-obfuscation-img-01.webp

    Un aspecto interesante descubierto implica la prevención de la interacción del teclado y el ratón, con páginas CAPTCHA maliciosas que incluyen JavaScript que desactiva la funcionalidad del clic derecho y bloquea los atajos de teclado comúnmente utilizados para la inspección (F12, Ctrl+Shift+I, Ctrl+U).



    TI-notification-javascript-captcha-obfuscation-img-02.webp


    Desde la perspectiva del usuario final, el flujo del ataque parece legítimo. Reciben un correo electrónico de phishing con un enlace a lo que parece ser una página de verificación CAPTCHA estándar que requiere una simple interacción con una casilla de verificación. Al completar esta verificación aparentemente rutinaria, son redirigidos a una página de recolección de credenciales, que suele imitar las pantallas de inicio de sesión de Microsoft. Las credenciales se capturan y se filtran al atacante.

    Esta técnica es especialmente eficaz porque añade un paso de verificación humana aparentemente legítimo que crea una falsa sensación de seguridad. La mayoría de los usuarios están acostumbrados a los desafíos CAPTCHA y no los reconocen como posibles amenazas a la seguridad. Mientras tanto, las medidas antianálisis impiden que los equipos de seguridad examinen fácilmente el contenido de la página.

    Esta evolución de las tácticas de phishing demuestra cómo los actores de las amenazas siguen perfeccionando sus técnicas para evadir la detección. La implementación de medidas anti-análisis dirigidas específicamente a los profesionales de la seguridad muestra un sofisticado conocimiento de las metodologías defensivas y un intento deliberado de complicar la respuesta a los incidentes.



    Objetivos:

    Global



    Recomendaciones

    Como analista de seguridad, recomendamos los siguientes pasos para analizar cualquier página potencial.

    • Utilice servicios de sandboxing como Urlscan.io para analizar el Modelo de Objetos de Documento (DOM) de la página
    • Cuando se buscan páginas CAPTCHA falsas que suelen utilizar javascript, las áreas clave a buscar son:
      • El código que especifica los atajos de teclado podría indicar intentos de manipular las interacciones del usuario.
      • Analice cómo la página redirige a los usuarios. Los redireccionamientos complejos o innecesarios pueden ser un indicio de ofuscación.
      • Verificación de dónde provienen las solicitudes y cómo se redirigen
      • Intensa ofuscación de JavaScript para ocultar su verdadera funcionalidad
    • Compare con las páginas legítimas de CAPTCHA observando:
      • Etiquetas HTML clave: Identifique las etiquetas esenciales que se utilizan habitualmente en las implementaciones de CAPTCHA auténticas.
      • Bibliotecas de JavaScript: Compruebe la presencia de bibliotecas o frameworks estándar que utilizan los servicios legítimos de CAPTCHA


    Back to Top