Nätfiskeattacker utvecklas ständigt och blir mer sofistikerade. Den senaste, som riktade in sig på användarnamn och lösenord, valde att gå old school och använda morsekod för att undvika e-postfiltersystem och andra säkerhetsåtgärder.
Microsoft avslöjade nyligen nätfiskeattacken, som den sade använde en "pussel"-teknik utöver åtgärder som morsekod och andra krypteringsmetoder för att dölja dess attacker och undvika upptäckt. Angripargruppen använde fakturor i Excel HTML eller webbdokument som ett sätt för att distribuera formulär som fångar inloggningsuppgifter för framtida intrångsförsök.
I ett färskt blogginlägg uttalade Microsoft Security Intelligence, "HTML-bilagan är uppdelad i flera segment, inklusive JavaScript-filerna som används för att stjäla lösenord, som sedan kodas med olika mekanismer. Dessa angripare gick från att använda vanlig HTML-kod till att använda flera kodningstekniker, inklusive gamla och ovanliga krypteringsmetoder som morsekod, för att dölja dessa attacksegment."
"I själva verket är bilagan jämförbar med ett pussel: på egen hand kan de enskilda segmenten av HTML-filen framstå som ofarliga på kodnivå och kan därmed glida förbi konventionella säkerhetslösningar. Först när de här segmenten är sammansatta och korrekt avkodade visas den skadliga avsikten", tillade blogginlägget.
Microsoft har spenderat över ett år på att undersöka denna XLS.HTML-nätfiskekampanj. Angriparna ändrade sina fördunklings- och krypteringsmekanismer ungefär var 37:e dag, vilket bevisar deras skicklighet och höga motivation för att hålla verksamheten igång samtidigt som de förblir oupptäckta.
"I februari-iterationen kodades länkar till JavaScript-filerna med ASCII och sedan i morsekod. Under tiden i maj kodades domännamnet för nätfiskepaketets URL i Escape innan hela HTML-koden kodades med morsekod.”
Även om det primära syftet med nätfiskeattacken var att samla in användaruppgifter, samlade den också lätt in vinstdata – som användarplatser och IP-adresser – som den troligen planerade att använda i framtida attacker. Microsoft hävdade att "Denna nätfiskekampanj är unik i den tid angripare tar för att koda HTML-filen för att kringgå säkerhetskontroller."
"XLS.HTML phishing-kampanjen använder social ingenjörskonst för att skapa e-postmeddelanden som efterliknar vanliga finansrelaterade affärstransaktioner, och skickar specifikt vad som verkar vara leverantörsbetalningsråd." Kampanjen faller under kategorin "företagskompromiss med e-post", en mer lukrativ bluff än ransomware.
Genom att använda mindre fläckiga metoder, som bilagor i Excel-kalkylblad, och sedan omdirigera användare till en falsk inloggningssida för Microsoft Office 365 med deras företagslogotyp (till exempel), är det mindre sannolikt att många användare höjer en röd flagga vid attacken och går in i deras referenser.
Kolla gärna in Microsofts blogginlägg för en mer djupgående titt på attacken, inklusive tidslinjen för hur kodningsteknikerna förändrades från månad till månad.
via ZDNet