Jarenlang gebruikten bedrijven captcha's om spammers en andere aanvallers buiten de deur te houden, maar nu hebben onderzoekers een aanval ontdekt waarbij criminelen captcha's gebruiken om de automatische analyse van hun malware te voorkomen. Microsoft bericht op Twitter over de aanvallen van een specifieke groep die het begin juni en afgelopen week waarnam.

De aanvallers versturen een e-mail naar hun slachtoffers die een link naar een "redirector site" of een html-bijlage bevat. De redirector site is meestal een gecompromitteerde website die het slachtoffer naar de uiteindelijke website doorstuurt. Zodra de link of de html-bijlage wordt geopend belandt de gebruiker op een website waar hij een captcha moet oplossen. Volgens Microsoft moet op deze manier geautomatiseerde analyse van het document door securitybedrijven worden voorkomen.

Wanneer de gebruiker de captcha oplost kan hij een Excel-document met een kwaadaardige macro downloaden. Macro's worden standaard door Microsoft Office geblokkeerd. Daarom hebben de aanvallers instructies voor het slachtoffer toegevoegd om macro's in te schakelen. Wanneer dit wordt gedaan zullen de macro's de GraceWire-malware op het systeem installeren, waarmee de aanvallers volledige toegang krijgen.

De aanvallers blijken geregeld hun werkwijze te wijzigen. Eerst werden de kwaadaardige Excel-documenten direct als e-mailbijlage meegestuurd. In januari maakte de groep vervolgens gebruik van html-redirectors die naar de malafide Exel-documenten linkten en nu worden captcha's ingezet om detectie te voorkomen. Volgens de Duitse overheid is er een relatie tussen deze groep aanvallers, die bekendstaat als TA505, en de Clop-ransomware, waardoor de Universiteit Maastricht vorig jaar werd getroffen.