Эти фишинговые атаки пошли по старинке, использовали азбуку Морзе для обхода безопасности
Фишинговые атаки постоянно развиваются и становятся все более изощренными. Последний, нацеленный на имена пользователей и пароли, решил пойти по старинке и использовать азбуку Морзе, чтобы избежать систем фильтрации электронной почты и других мер безопасности.
Microsoft недавно раскрыла фишинговую атаку, которая, по ее словам, использовала метод «головоломки» в дополнение к таким мерам, как азбука Морзе и другие методы шифрования, чтобы скрыть свои атаки и избежать обнаружения. Группа злоумышленников использовала счета-фактуры в формате Excel HTML или веб-документы в качестве средства. для распространения форм, которые захватили учетные данные для будущих попыток взлома.
В недавнем сообщении в блоге Microsoft Security Intelligence говорится: «Вложение HTML разделено на несколько сегментов, включая файлы JavaScript, используемые для кражи паролей, которые затем кодируются с использованием различных механизмов. Эти злоумышленники перешли от использования обычного текстового HTML-кода к использованию нескольких методов кодирования, включая старые и необычные методы шифрования, такие как азбука Морзе, чтобы скрыть эти сегменты атаки».
«По сути, вложение можно сравнить с головоломкой: сами по себе отдельные сегменты HTML-файла могут казаться безвредными на уровне кода и, таким образом, могут ускользнуть от традиционных решений безопасности. Только когда эти сегменты собраны вместе и должным образом декодированы, проявляется злонамеренное намерение», — говорится в сообщении в блоге.
Microsoft потратила более года на расследование этой фишинговой кампании XLS.HTML. Злоумышленники меняли свои механизмы обфускации и шифрования примерно каждые 37 дней, доказывая свое мастерство и высокую мотивацию поддерживать операцию в рабочем состоянии, оставаясь при этом незамеченными.
«В февральской итерации ссылки на файлы JavaScript были закодированы с использованием ASCII, а затем азбуки Морзе. Тем временем в мае доменное имя URL-адреса набора для фишинга было закодировано в Escape до того, как весь HTML-код был закодирован с помощью азбуки Морзе».
Хотя основной целью фишинговой атаки был сбор учетных данных пользователей, она также легко собирала данные о прибыли, такие как местоположение пользователей и IP-адреса, которые, вероятно, планировалось использовать в будущих атаках. Microsoft заявила, что «эта фишинговая кампания уникальна тем, что злоумышленники пытаются зашифровать HTML-файл, чтобы обойти меры безопасности».
«Фишинговая кампания XLS.HTML использует социальную инженерию для создания электронных писем, имитирующих обычные финансовые бизнес-транзакции, в частности, отправляя то, что кажется советом поставщика по оплате». Кампания подпадает под категорию атак «компрометация деловой электронной почты», что является более прибыльной аферой, чем программы-вымогатели.
Используя менее эффектные методы, такие как вложения электронных таблиц Excel, а затем перенаправляя пользователей на фальшивую страницу входа с учетными данными Microsoft Office 365 с логотипом их компании (например), многие пользователи с меньшей вероятностью поднимут красный флаг в связи с атакой и введут свои данные. реквизиты для входа.
Не стесняйтесь проверить сообщение в блоге Microsoft для более подробного изучения атаки, включая хронологию того, как методы кодирования менялись от месяца к месяцу.
через ZDNet