JavaScript und Captcha-Verschleierung
10. März 2025
Von Rikesh Vekaria
Was Sie in dieser Benachrichtigung erfahren
- Kriminelle Akteure setzen auf CAPTCHA-Seiten ausgefeilte Maßnahmen zur Umgehung von Analysen ein, um einer Aufdeckung zu entgehen und Ermittlungen zu verhindern.
- Die bösartigen Seiten erkennen Sicherheitsprogramme aktiv und leiten die Nutzer bei Erkennung auf harmlose Ziele weiter, um so einer Überprüfung durch automatisierte Systeme zu entgehen.
- Die CAPTCHA-Überprüfung vermittelt den Nutzern ein falsches Gefühl der Sicherheit und hindert Sicherheitsteams gleichzeitig daran, die versteckten Inhalte zu untersuchen, die zum Abgreifen von Anmeldedaten dienen.
Verschleierungstechniken
Rikesh Vekaria und die Bedrohungsforscher von Mimecast haben kürzlich festgestellt, dass Angreifer ihre Phishing-Taktiken weiterentwickeln, indem sie auf CAPTCHA-Seiten Maßnahmen zur Verhinderung von Analysen implementieren, um einer Erkennung zu entgehen und Ermittlungen durch Sicherheitsexperten zu verhindern. Dies baut auf Untersuchungen von Sicherheitsforschern bei Juniper Labs auf, die zwei vorrangig genutzte CAPTCHA-basierte Phishing-Methoden identifiziert haben. Bei der ersten Methode werden legitime Domains mit echten CAPTCHA-Implementierungen kompromittiert, während bei der zweiten Methode gefälschte CAPTCHA-Seiten erstellt werden, die die legitimen Cloudflare-Turnstile-Oberflächen überzeugend nachahmen. Beide Methoden dienen als effektiver Zugang zu Seiten, auf denen Anmeldedaten abgegriffen werden.
Was diese Kampagnen besonders besorgniserregend macht, ist der Einsatz ausgefeilter Umgehungstechniken, die speziell darauf ausgelegt sind, Sicherheitsanalysen zu vereiteln. Die Angreifer haben Code eingefügt, der sowohl automatisierte Sicherheitstools als auch manuelle Untersuchungen durch Sicherheitsexperten aktiv verhindert.
Dieser ausgefeilte Ansatz umfasst die Erkennung von Headless-Browsern, Web-Scraping-Tools und Sicherheitsscan-Plattformen. Werden solche Tools erkannt, leitet die Seite auf eine harmlose Seite weiter, wodurch eine Überprüfung durch automatisierte Sicherheitssysteme effektiv umgangen wird. Bei den jüngsten, von unserem Team für Bedrohungsforschung analysierten Fundfällen führt der hervorgehobene Code zu einer Weiterleitung auf eine leere Seite, wodurch eine erste manuelle Analyse möglicherweise in die Irre geführt wird.
Ein interessanter Aspekt, der dabei entdeckt wurde, betrifft die Verhinderung der Interaktion mit Tastatur und Maus: Bösartige CAPTCHA-Seiten enthalten JavaScript, das die Rechtsklick-Funktion deaktiviert und häufig zur Überprüfung verwendete Tastenkombinationen (F12, Strg+Umschalt+I, Strg+U) blockiert.
Aus Sicht des Endnutzers erscheint der Ablauf des Angriffs legitim. Sie erhalten eine Phishing-E-Mail mit einem Link zu einer Seite, die wie eine gewöhnliche CAPTCHA-Verifizierungsseite aussieht und auf der lediglich ein Kontrollkästchen angekreuzt werden muss. Nach Abschluss dieser scheinbar routinemäßigen Überprüfung werden sie auf eine Seite weitergeleitet, die darauf abzielt, Anmeldedaten zu stehlen, und die in der Regel die Anmeldeseiten von Microsoft nachahmt. Die Anmeldedaten werden anschließend erfasst und an den Angreifer weitergeleitet.
Diese Technik ist besonders wirksam, da sie einen scheinbar legitimen Schritt zur Überprüfung durch einen Menschen hinzufügt, der ein falsches Gefühl der Sicherheit vermittelt. Die meisten Nutzer sind an CAPTCHA-Aufgaben gewöhnt und erkennen diese nicht als potenzielle Sicherheitsrisiken. Gleichzeitig hindern die Maßnahmen zur Verhinderung von Analysen die Sicherheitsteams daran, den Inhalt der Seite problemlos zu überprüfen.
Diese Entwicklung bei den Phishing-Taktiken verdeutlicht, wie Angreifer ihre Methoden kontinuierlich verfeinern, um einer Entdeckung zu entgehen. Die Umsetzung von Maßnahmen zur Verhinderung von Analysen, die sich speziell gegen Sicherheitsexperten richten, zeugt von einem ausgeprägten Verständnis für Verteidigungsmethoden und stellt einen gezielten Versuch dar, die Reaktion auf Sicherheitsvorfälle zu erschweren.
Ziele:
Weltweit
Empfehlungen
Als Sicherheitsanalysten empfehlen wir Ihnen die folgenden Schritte zur Analyse potenziell betroffener Seiten.
- Nutzen Sie Sandboxing-Dienste wie Urlscan.io, um das Document Object Model (DOM) der Seite zu analysieren
- Bei der Suche nach gefälschten CAPTCHA-Seiten, die in der Regel JavaScript verwenden, sollten Sie insbesondere auf folgende Bereiche achten:
- Code, der Tastaturkürzel festlegt, könnte auf Versuche hindeuten, Benutzerinteraktionen zu manipulieren.
- Analysieren Sie, wie die Seite die Nutzer weiterleitet. Komplexe oder unnötige Weiterleitungen können ein Anzeichen für Verschleierung sein.
- Überprüfen, woher die Anfragen stammen und wie sie weitergeleitet werden
- Umfangreiche JavaScript-Verschleierung, um deren tatsächliche Funktionalität zu verbergen
-
Vergleichen Sie dies mit legitimen CAPTCHA-Seiten, indem Sie folgende Aspekte betrachten:
- Wichtige HTML-Tags: Identifizieren Sie wesentliche Tags, die in authentischen CAPTCHA-Implementierungen häufig verwendet werden.
- JavaScript-Bibliotheken: Überprüfen Sie, ob Standardbibliotheken oder Frameworks vorhanden sind, die von seriösen CAPTCHA-Diensten verwendet werden