Фішингові атаки постійно розвиваються і стають все більш досконалими. Останній, який націлений на імена користувачів та паролі, вирішив піти на стару школу та використовувати азбуку Морзе, щоб уникнути систем фільтрів електронної пошти та інших заходів безпеки.
Microsoft нещодавно розкрила фішингову атаку, яка, за її словами, використовувала техніку «головоломки» на додаток до таких заходів, як азбука Морзе та інші методи шифрування, щоб приховати свої атаки та уникнути виявлення. Група зловмисників використовувала рахунки-фактури в Excel HTML або веб-документах як засіб розповсюджувати форми, які зачіпали облікові дані для майбутніх спроб злому.
У нещодавній публікації в блозі Microsoft Security Intelligence заявила: «Вкладений файл HTML розділений на кілька сегментів, включаючи файли JavaScript, які використовуються для крадіжки паролів, які потім кодуються за допомогою різних механізмів. Ці зловмисники перейшли від використання відкритого HTML-коду до використання кількох методів кодування, включаючи старі та незвичайні методи шифрування, такі як азбука Морзе, щоб приховати ці сегменти атаки».
«По суті, вкладення можна порівняти з головоломкою: самі по собі окремі сегменти HTML-файлу можуть здаватися нешкідливими на рівні коду і, таким чином, можуть прослизати поза звичайними рішеннями безпеки. Лише коли ці сегменти зібрані та належним чином розшифровані, зловмисний намір проявляється», – додається в блозі.
Microsoft витратила більше року на дослідження цієї фішингової кампанії XLS.HTML. Зловмисники змінювали свої механізми обфускації та шифрування приблизно кожні 37 днів, доводячи свою майстерність і високу мотивацію підтримувати операцію, залишаючись непоміченими.
«У лютневій ітерації посилання на файли JavaScript були закодовані за допомогою ASCII, а потім азбукою Морзе. Тим часом у травні доменне ім’я URL-адреси фішингового комплекту було закодовано в Escape, перш ніж весь HTML-код був закодований за допомогою азбуки Морзе».
Хоча основною метою фішингової атаки був збір облікових даних користувача, вона також легко збирала дані про прибуток, такі як розташування користувачів та IP-адреси, які, ймовірно, планувалося використовувати в майбутніх атаках. Корпорація Майкрософт стверджувала, що «ця фішинг-кампанія є унікальною з точки зору тривалості зловмисників для кодування HTML-файлу, щоб обійти контроль безпеки».
«Фішингова кампанія XLS.HTML використовує соціальну інженерію для створення електронних листів, які імітують звичайні фінансові ділові транзакції, зокрема надсилаючи те, що здається постачальникам порад щодо оплати». Кампанія підпадає під категорію атак «компрометування ділової електронної пошти», що є більш прибутковим шахрайством, ніж програми-вимагачі.
Використовуючи менш блискучі методи, як-от вкладення електронних таблиць Excel, а потім перенаправляючи користувачів на підроблену сторінку входу з обліковими даними Microsoft Office 365 з логотипом їхньої компанії (наприклад,), багато користувачів менше ймовірно піднімуть червоний прапорець про атаку та введуть свою облікові дані.
Не соромтеся ознайомитися з публікацією в блозі Microsoft, щоб детальніше ознайомитися з атакою, включаючи часову шкалу того, як методи кодування змінювалися з місяця в місяць.
через ZDNet