Вредоносные программы последнего поколения довольно успешно проходят тесты CAPTCHA. Для банковского трояна Cridex этот процесс даже засняли на видео.

Инфраструктура ботнета Cridex показана на схеме.

Инфраструктура ботнета Cridex
Инфраструктура ботнета Cridex

На первом этапе происходит рассылка спама со ссылками на набор эксплоитов, в данном случае это Blackhole. Если эксплоит срабатывает успешно, то на машину устанавливается вариант трояна Cridex (2 и 3 на схеме), он скачивает конфигурационный файл (пример.txt) с указанием, какие веб-сервисы отслеживать и откуда воровать данные, с указанием ключевых точек в онлайновых формах ввода данных. На данный момент поддерживаются Facebook, Twitter и десятки банковских сервисов (неполный список). На пятом этапе собранные данные отправляются на сервер C&C. Под цифрой 6 на схеме изображён один из компонентов Cridex — спам-модуль для рассылки спама, который при этом содержит бэкдор и позволяет администратору осуществлять определённые действия от имени пользователя. Например, модуль открывает сессии на почтовых сервисах и регистрирует новые почтовые аккаунты, которые потом используются для рассылки спама. Как известно, для регистрации e-mail’a требуется пройти тест CAPTCHA, и вот здесь в дело вступает сервер взлома CAPTCHA (7), с помощью которого бот проходит защиту CAPTCHA за несколько попыток.

На видео показан процесс регистрации почтового аккаунта с помощью автоматизированного ввода CAPTCHA от сервера.

Процесс взлома CAPTCHA заключается в извлечении картинки с кодом и отправке её на сервер взлома CAPTCHA. Запрос осуществляется в виде HTTP POST со встроенной картинкой. В ответ приходит JSON-данные с текстом CAPTCHA.

Этот текст и вставляется в соответствующую форму. Если не срабатывает, то процесс повторяется. На следующей иллюстрации показаны ответы сервера на попытки пройти тест, что удаётся с шестой попытки.

Если тест пройден, то на сервер взлома CAPTCHA отправляется сообщение об успехе. Оно подписано параметром r: если указано значение &r=0, то попытка была неудачной, а &r=1 означает, что CAPTCHA пройдена.

Оставить мнение