Os ataques de phishing estão em constante evolução e se tornando mais sofisticados. O mais recente, que visava nomes de usuário e senhas, optou por seguir a velha escola e usar código morse para evitar sistemas de filtro de e-mail e outras medidas de segurança.
A Microsoft revelou recentemente o ataque de phishing, que disse usar uma técnica de "quebra-cabeça", além de medidas como código Morse e outros métodos de criptografia para ocultar seus ataques e evitar a detecção. para distribuir formulários que roubavam credenciais para futuras tentativas de violação.
Em uma postagem recente no blog, a Microsoft Security Intelligence afirmou: “O anexo HTML é dividido em vários segmentos, incluindo os arquivos JavaScript usados para roubar senhas, que são codificados usando vários mecanismos. Esses invasores deixaram de usar código HTML de texto simples para empregar várias técnicas de codificação, incluindo métodos de criptografia antigos e incomuns, como código Morse, para ocultar esses segmentos de ataque."
“Na verdade, o anexo é comparável a um quebra-cabeça: por si só, os segmentos individuais do arquivo HTML podem parecer inofensivos no nível do código e, portanto, podem escapar das soluções de segurança convencionais. Somente quando esses segmentos são reunidos e decodificados corretamente é que a intenção maliciosa aparece”, acrescentou o post do blog.
A Microsoft passou mais de um ano investigando essa campanha de phishing XLS.HTML. Os invasores mudaram seus mecanismos de ofuscação e criptografia aproximadamente a cada 37 dias, provando sua habilidade e alta motivação para manter a operação funcionando sem ser detectado.
“Na iteração de fevereiro, os links para os arquivos JavaScript foram codificados usando ASCII e depois em código Morse. Enquanto isso, em maio, o nome de domínio do URL do kit de phishing foi codificado em Escape antes que todo o código HTML fosse codificado usando código Morse.”
Embora o objetivo principal do ataque de phishing fosse coletar credenciais de login do usuário, ele também coletava prontamente dados de lucro – como localizações de usuários e endereços IP – que provavelmente planejava usar em ataques futuros. A Microsoft alegou que “esta campanha de phishing é única nos comprimentos que os invasores levam para codificar o arquivo HTML para contornar os controles de segurança”.
“A campanha de phishing XLS.HTML usa engenharia social para criar e-mails que imitam transações comerciais regulares relacionadas a finanças, enviando especificamente o que parece ser um aviso de pagamento do fornecedor.” A campanha se enquadra na categoria de ataques “comprometimento de e-mail comercial”, um golpe mais lucrativo do que o ransomware.
Ao usar métodos menos chamativos, como anexos de planilhas do Excel e, em seguida, redirecionar os usuários para uma página de login de credenciais falsas do Microsoft Office 365 com o logotipo de sua empresa (por exemplo), muitos usuários são menos propensos a levantar uma bandeira vermelha no ataque e inserir seus credenciais.
Sinta-se à vontade para conferir a postagem no blog da Microsoft para obter uma visão mais aprofundada do ataque, incluindo a linha do tempo de como as técnicas de codificação mudaram de mês para mês.
via ZDNet