Les attaques de phishing sont en constante évolution et deviennent de plus en plus sophistiquées. Le dernier, qui ciblait les noms d’utilisateur et les mots de passe, a choisi d’aller à l’ancienne et d’ utiliser le code morse pour éviter les systèmes de filtrage des e-mails et autres mesures de sécurité.
Microsoft a récemment révélé l’attaque de phishing, qui, selon elle, utilisait une technique de "casse-tête" en plus de mesures telles que le code Morse et d’autres méthodes de cryptage pour masquer ses attaques et éviter la détection. Le groupe d’attaquants a utilisé des factures dans Excel HTML ou des documents Web comme moyen. pour distribuer des formulaires qui accrochaient les informations d’identification pour les futures tentatives de violation.
Dans un récent article de blog, Microsoft Security Intelligence a déclaré: «La pièce jointe HTML est divisée en plusieurs segments, y compris les fichiers JavaScript utilisés pour voler les mots de passe, qui sont ensuite encodés à l’aide de divers mécanismes. Ces attaquants sont passés de l’utilisation de code HTML en clair à l’utilisation de plusieurs techniques de codage, y compris des méthodes de cryptage anciennes et inhabituelles comme le code Morse, pour masquer ces segments d’attaque.
« En effet, la pièce jointe est comparable à un puzzle: à eux seuls, les segments individuels du fichier HTML peuvent sembler inoffensifs au niveau du code et peuvent ainsi échapper aux solutions de sécurité conventionnelles. Ce n’est que lorsque ces segments sont assemblés et correctement décodés que l’intention malveillante apparaît », a ajouté le billet de blog.
Microsoft a passé plus d’un an à enquêter sur cette campagne de phishing XLS.HTML. Les attaquants ont changé leurs mécanismes d’obscurcissement et de cryptage environ tous les 37 jours, prouvant leur compétence et leur grande motivation pour maintenir l’opération opérationnelle tout en restant non détectés.
"Dans l’itération de février, les liens vers les fichiers JavaScript ont été encodés en ASCII puis en code Morse. Pendant ce temps, en mai, le nom de domaine de l’URL du kit de phishing a été encodé dans Escape avant que tout le code HTML ne soit encodé en code Morse.
Alors que l’objectif principal de l’attaque de phishing était de collecter les identifiants de connexion des utilisateurs, elle a également facilement collecté des données de profit, telles que les emplacements des utilisateurs et les adresses IP, qu’elle prévoyait probablement d’utiliser dans de futures attaques. Microsoft a affirmé que "cette campagne de phishing est unique dans la longueur que prennent les attaquants pour encoder le fichier HTML afin de contourner les contrôles de sécurité".
"La campagne de phishing XLS.HTML utilise l’ingénierie sociale pour créer des e-mails imitant les transactions commerciales régulières liées aux finances, en envoyant spécifiquement ce qui semble être des conseils de paiement des fournisseurs." La campagne relève de la catégorie d’attaques "compromise de messagerie professionnelle", une arnaque plus lucrative que les rançongiciels.
En utilisant des méthodes moins flashy, comme les pièces jointes de feuilles de calcul Excel, puis en redirigeant les utilisateurs vers une fausse page de connexion d’informations d’identification Microsoft Office 365 comportant le logo de leur entreprise (par exemple), de nombreux utilisateurs sont moins susceptibles de lever un drapeau rouge sur l’attaque et d’entrer leur identifiants.
N’hésitez pas à consulter le blog de Microsoft pour un aperçu plus approfondi de l’attaque, y compris la chronologie de l’évolution des techniques d’encodage d’un mois à l’autre.
via ZDNet