Mimecast Logo
Richiedi un preventivo

    Offuscamento di JavaScript e Captcha

    10 marzo 2025

    Di Rikesh Vekaria

    Punti principali

    Cosa imparerai in questa notifica

    • Le operazioni di minaccia stanno implementando misure sofisticate di anti-analisi all'interno delle pagine CAPTCHA per eludere il rilevamento e prevenire le indagini.
    • Le pagine dannose rilevano attivamente gli strumenti di sicurezza e, quando vengono identificati, li reindirizzano verso destinazioni innocue per evitare il controllo da parte di sistemi automatici.
    • La verifica CAPTCHA crea un falso senso di sicurezza per gli utenti, mentre impedisce ai team di sicurezza di esaminare il contenuto nascosto per la raccolta delle credenziali.

    Messaggi generati dall'IA

    Rikesh Vekaria e i ricercatori di minacce di Mimecast hanno recentemente identificato che gli operatori di minacce stanno migliorando le loro tattiche di phishing implementando misure anti-analisi nelle pagine CAPTCHA per eludere il rilevamento e impedire le indagini da parte dei professionisti della sicurezza. Questo si basa sulla ricerca condotta dai ricercatori di sicurezza di Juniper Labs, i quali hanno identificato due principali approcci di phishing basati su CAPTCHA attualmente in uso. Il primo comporta la compromissione di domini legittimi con implementazioni CAPTCHA effettive, mentre il secondo prevede la creazione di pagine CAPTCHA false che imitano in modo convincente le interfacce legittime di Cloudflare Turnstile. Entrambi i metodi rappresentano un efficace accesso alle pagine di raccolta delle credenziali.

    Ciò che rende queste campagne particolarmente preoccupanti è l'implementazione di tecniche di evasione avanzate, progettate specificamente per ostacolare le analisi della sicurezza. Gli aggressori hanno inserito del codice che ostacola attivamente sia gli strumenti di sicurezza automatizzati sia le indagini manuali condotte dai professionisti della sicurezza.

    Questo approccio sofisticato prevede il rilevamento di browser headless, strumenti di web scraping e piattaforme di scansione di sicurezza. Quando tali strumenti vengono identificati, la pagina viene reindirizzata a una pagina innocua, evitando efficacemente il controllo da parte dei sistemi di sicurezza automatizzati. Nei recenti rilevamenti analizzati dal nostro team di ricerca sulle minacce, il codice evidenziato mostra un reindirizzamento a una pagina vuota, potenzialmente ingannando l'analisi umana iniziale.



    TI-notification-javascript-captcha-obfuscation-img-01.webp

    Un aspetto interessante che è stato scoperto riguarda la prevenzione delle interazioni con tastiera e mouse, con pagine CAPTCHA dannose che includono JavaScript che disabilita la funzionalità di clic con il tasto destro e blocca le scorciatoie da tastiera comunemente usate per l'ispezione (F12, Ctrl+Shift+I, Ctrl+U).



    TI-notification-javascript-captcha-obfuscation-img-02.webp


    Dal punto di vista degli utenti finali, il flusso di attacco appare legittimo. Ricevono un'email di phishing con un link a quella che sembra essere una pagina di verifica CAPTCHA standard che richiede una semplice interazione con una casella di spunta. Dopo aver completato questa verifica apparentemente di routine, vengono reindirizzati a una pagina di raccolta delle credenziali, che in genere imita le schermate di accesso di Microsoft. Le credenziali vengono quindi raccolte e trasmesse all'aggressore.

    Questa tecnica è particolarmente efficace perché aggiunge una fase di verifica umana apparentemente legittima che crea un falso senso di sicurezza. La maggior parte degli utenti è abituata ai CAPTCHA e non li riconosce come potenziali minacce alla sicurezza. Nel frattempo, le misure anti-analisi impediscono ai team di sicurezza di esaminare facilmente il contenuto della pagina.

    Questa evoluzione nelle tattiche di phishing dimostra come gli attori delle minacce continuino ad affinare le loro tecniche per eludere il rilevamento. L'implementazione di misure anti-analisi mirate specificamente ai professionisti della sicurezza dimostra una comprensione avanzata delle metodologie difensive e un tentativo intenzionale di complicare la risposta agli incidenti.



    Obiettivi:

    Globale



    Raccomandazioni

    In qualità di analista della sicurezza, raccomandiamo i seguenti passaggi per analizzare qualsiasi pagina potenziale.

    • Utilizzi servizi di sandboxing come Urlscan.io per analizzare il Document Object Model (DOM) della pagina
    • Quando si cercano pagine CAPTCHA false che in genere utilizzano javascript, le aree chiave da esaminare sono:
      • Il codice che specifica le scorciatoie da tastiera potrebbe indicare tentativi di manipolare le interazioni degli utenti.
      • Analizza il modo in cui la pagina reindirizza gli utenti. Reindirizzamenti complessi o non necessari possono indicare un tentativo di offuscamento.
      • Verificare da dove provengono le richieste e come vengono reindirizzate
      • Forte offuscamento di JavaScript per celare la loro reale funzionalità.
    • Fai un confronto con le pagine CAPTCHA legittime osservando:
      • Tag HTML chiave: identifica i tag essenziali comunemente utilizzati nelle implementazioni CAPTCHA autentiche.
      • Librerie JavaScript: verifica la presenza di librerie o framework standard utilizzati dai servizi CAPTCHA legittimi.


    Back to Top