Te ataki phishingowe przeszły do starej szkoły i wykorzystywały kod Morse’a do obejścia zabezpieczeń
Ataki phishingowe stale ewoluują i stają się coraz bardziej wyrafinowane. Najnowsza, która dotyczyła nazw użytkowników i haseł, zdecydowała się przejść na starą szkołę i używać kodu Morse’a, aby omijać systemy filtrowania poczty e-mail i inne środki bezpieczeństwa.
Microsoft niedawno ujawnił atak phishingowy, który, jak twierdzi, wykorzystywał technikę „puzzli" oprócz środków, takich jak alfabet Morse’a i inne metody szyfrowania, w celu ukrycia ataków i uniknięcia wykrycia. do rozpowszechniania formularzy, które wyłudziły dane uwierzytelniające do przyszłych prób włamań.
W niedawnym poście na blogu Microsoft Security Intelligence stwierdził: „Załącznik HTML jest podzielony na kilka segmentów, w tym pliki JavaScript wykorzystywane do kradzieży haseł, które są następnie kodowane przy użyciu różnych mechanizmów. Atakujący przeszli od używania zwykłego kodu HTML do stosowania wielu technik kodowania, w tym starych i nietypowych metod szyfrowania, takich jak kod Morse’a, w celu ukrycia tych segmentów ataku”.
„W efekcie załącznik jest porównywalny do układanki: same w sobie poszczególne segmenty pliku HTML mogą wydawać się nieszkodliwe na poziomie kodu, a tym samym mogą wymykać się konwencjonalnym rozwiązaniom zabezpieczającym. Złośliwe zamiary ujawniają się dopiero wtedy, gdy te segmenty zostaną połączone i odpowiednio zdekodowane” – dodaje wpis na blogu.
Firma Microsoft poświęciła ponad rok na badanie tej kampanii phishingowej XLS.HTML. Osoby atakujące zmieniały swoje mechanizmy zaciemniania i szyfrowania mniej więcej co 37 dni, udowadniając swoje umiejętności i wysoką motywację do kontynuowania operacji, pozostając niewykrytym.
„W iteracji lutowej linki do plików JavaScript zostały zakodowane przy użyciu ASCII, a następnie alfabetem Morse’a. Tymczasem w maju nazwa domeny adresu URL zestawu phishingowego została zakodowana w Escape, zanim cały kod HTML został zakodowany za pomocą kodu Morse’a”.
Chociaż głównym celem ataku phishingowego było zebranie danych logowania użytkownika, z łatwością zebrano również dane dotyczące zysków — takie jak lokalizacje użytkowników i adresy IP — które prawdopodobnie planowano wykorzystać w przyszłych atakach. Microsoft twierdził, że „Ta kampania phishingowa jest wyjątkowa pod względem długości, jaką podejmują atakujący, aby zakodować plik HTML w celu ominięcia kontroli bezpieczeństwa”.
„Kampania phishingowa XLS.HTML wykorzystuje socjotechnikę do tworzenia wiadomości e-mail naśladujących zwykłe transakcje biznesowe związane z finansami, w szczególności wysyłanie czegoś, co wydaje się być poradą dotyczącą płatności dostawcy”. Kampania należy do kategorii ataków „narażenia biznesowej poczty e-mail”, co jest bardziej lukratywnym oszustwem niż oprogramowanie ransomware.
Korzystając z mniej efektownych metod, takich jak załączniki w arkuszu kalkulacyjnym Excel, a następnie przekierowując użytkowników na fałszywą stronę logowania danych uwierzytelniających Microsoft Office 365 z logo ich firmy (na przykład), wielu użytkowników jest mniej skłonnych do wyświetlenia czerwonej flagi w związku z atakiem i wprowadzenia swojego referencje.
Zapraszam do zapoznania się z wpisem na blogu Microsoft, aby uzyskać bardziej szczegółowe informacje na temat ataku, w tym harmonogram zmian technik kodowania z miesiąca na miesiąc.
przez ZDNet