Тази „уникална“ фишинг атака използва морзов код, за да скрие своя подход

Microsoft разкри вътрешната работа на техниките на групата за фишинг атаки, която използва техника „пъзел“ плюс необичайни функции като тирета и точки на азбуката на Морзе, за да скрие атаките си.

Групата използва фактури в Excel HTML или уеб документи, за да разпространява формуляри, които улавят идентификационни данни за по -късни хакерски усилия. Техниката е забележителна, защото заобикаля традиционните системи за филтриране на имейли.

“Прикаченият HTML е разделен на няколко сегмента, включително JavaScript файловете, използвани за кражба на пароли, които след това се кодират с помощта на различни механизми. Тези нападатели преминаха от използване на обикновен текстов HTML код към използване на множество техники за кодиране, включително стари и необичайни методи за криптиране като азбука на Морз , за да скриете тези сегменти на атака, ” Intel Security Intelligence казва.

“Всъщност прикаченият файл е сравним с пъзел: отделно отделните сегменти на файла HMTL могат да изглеждат безобидни на ниво код и по този начин могат да се промъкнат покрай конвенционалните решения за сигурност. Само когато тези сегменти са събрани и правилно декодирани показва ли злонамереното намерение “, се казва в него.

ВИЖ: Тази нова фишинг атака е „по -коварна от обикновено“, предупреждава Microsoft

Основната цел на атаката е да получи потребителски имена и пароли, но също така събира данни за печалбата, като IP адрес и местоположение, които да се използват за последващи опити за пробив. „Тази фишинг кампания е уникална по дължината, която нападателите предприемат, за да кодират HTML файла, за да заобиколят контролите за сигурност“, каза Microsoft.

Атаките попадат в категорията компромис с бизнес имейл – високо печеливша измама, която надхвърля индустрията на киберпрестъпленията от ransomware.

“Филширащата кампания XLS.HTML използва социалното инженерство за създаване на имейли, имитиращи редовни финансови бизнес транзакции, като по-специално изпраща това, което изглежда е съвет на доставчика за плащане. В някои от имейлите нападателите използват знаци с акцент в темата”, казва Microsoft.

Excel и свързаният с финансите предмет е куката, която има за цел да насърчи жертвите да предадат идентификационни данни.

“Използването на xls в името на прикачения файл има за цел да подтикне потребителите да очакват файл на Excel. Когато се отвори прикачения файл, той стартира прозорец на браузъра и показва диалогов прозорец за фалшиви идентификационни данни за Microsoft Office 365 върху размазан документ на Excel. По -специално, диалоговият прозорец може да показва информация за неговите цели, като техния имейл адрес и в някои случаи логото на компанията им. “

ВИЖ: Разработчиците на зловреден софтуер се обръщат към „екзотични“ езици за програмиране, за да осуетят изследователите

Елементът на Морзевия код на атаката се използва заедно с JavaScript, най -популярният език за програмиране за уеб разработка.

“Морзевият код е стар и необичаен метод за кодиране, който използва тирета и точки за представяне на знаци. Този механизъм е наблюдаван във вълните през февруари (” Организационен отчет/фактура “) и май 2021 г. (” Заплати “)”, отбелязва Microsoft.

“През февруарската итерация връзките към JavaScript файловете бяха кодирани с помощта на ASCII, след това в азбука на Морс. Междувременно през май името на домейна на URL адреса на фишинг комплекта беше кодирано в Escape, преди целият HTML код да бъде кодиран с морзов код.” Използването на морзов код при фишинг атаки е забелязано от Лорънс Ейбрамс от Bleeping Computer през февруари.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com