Gli attacchi di phishing sono in continua evoluzione e stanno diventando sempre più sofisticati. L’ultimo, che prendeva di mira nomi utente e password, ha scelto di passare alla vecchia scuola e utilizzare il codice morse per evitare i sistemi di filtro della posta elettronica e altre misure di sicurezza.
Microsoft ha recentemente rivelato l’attacco di phishing, che ha utilizzato una tecnica "puzzle" oltre a misure come il codice Morse e altri metodi di crittografia per oscurare i suoi attacchi ed evitare il rilevamento. Il gruppo di aggressori ha utilizzato le fatture in Excel HTML o documenti Web come mezzo per distribuire moduli che hanno catturato le credenziali per futuri tentativi di violazione.
In un recente post sul blog, Microsoft Security Intelligence ha dichiarato: "L’allegato HTML è diviso in diversi segmenti, inclusi i file JavaScript utilizzati per rubare le password, che vengono poi codificate utilizzando vari meccanismi. Questi aggressori sono passati dall’utilizzo di codice HTML in chiaro all’impiego di più tecniche di codifica, inclusi metodi di crittografia vecchi e insoliti come il codice Morse, per nascondere questi segmenti di attacco".
“In effetti, l’allegato è paragonabile a un puzzle: da soli, i singoli segmenti del file HTML possono apparire innocui a livello di codice e possono quindi sfuggire alle soluzioni di sicurezza convenzionali. Solo quando questi segmenti vengono messi insieme e correttamente decodificati si manifesta l’intento dannoso", ha aggiunto il post sul blog.
Microsoft ha trascorso più di un anno a indagare su questa campagna di phishing XLS.HTML. Gli aggressori hanno cambiato i loro meccanismi di offuscamento e crittografia all’incirca ogni 37 giorni, dimostrando la loro abilità e alta motivazione per mantenere l’operazione attiva e funzionante senza essere scoperti.
"Nell’iterazione di febbraio, i collegamenti ai file JavaScript sono stati codificati utilizzando ASCII quindi in codice Morse. Nel frattempo, a maggio, il nome di dominio dell’URL del kit di phishing è stato codificato in Escape prima che l’intero codice HTML fosse codificato utilizzando il codice Morse".
Sebbene l’obiettivo principale dell’attacco di phishing fosse raccogliere le credenziali di accesso degli utenti, ha anche raccolto prontamente dati sui profitti, come le posizioni degli utenti e gli indirizzi IP, che probabilmente prevedeva di utilizzare in attacchi futuri. Microsoft ha affermato che "Questa campagna di phishing è unica per le lunghezze che gli aggressori impiegano per codificare il file HTML per aggirare i controlli di sicurezza".
"La campagna di phishing XLS.HTML utilizza l’ingegneria sociale per creare e-mail che imitano le normali transazioni commerciali legate alla finanza, inviando in particolare quello che sembra essere un consiglio di pagamento del fornitore". La campagna rientra nella categoria degli attacchi di "compromissione e-mail aziendale", una truffa più redditizia del ransomware.
Utilizzando metodi meno appariscenti, come gli allegati di fogli di calcolo Excel, e quindi reindirizzando gli utenti a una pagina di accesso delle credenziali di Microsoft Office 365 falsa con il logo della propria azienda (ad esempio), è meno probabile che molti utenti alzino una bandiera rossa sull’attacco e inseriscano il proprio credenziali.
Sentiti libero di dare un’occhiata al post sul blog di Microsoft per uno sguardo più approfondito all’attacco, inclusa la sequenza temporale di come le tecniche di codifica sono cambiate di mese in mese.
tramite ZDNet