Hackeri si všimli, že pri phishingových útokoch používajú morzeovku, aby sa vyhli detekcii

Spoločnosť Microsoft zverejnila podrobnosti o vyhýbavej celoročnej kampani sociálneho inžinierstva, v ktorej operátori v priemere každých 37 dní menili svoje mechanizmy zahmlievania a šifrovania, vrátane spoliehania sa na Morseovu abecedu, v snahe zakryť svoje stopy a tajne získať používateľské poverenia.

Phishingové útoky majú podobu návnad s motívom faktúr, ktoré napodobňujú obchodné transakcie súvisiace s financiami, pričom e-maily obsahujú súbor HTML („XLS.HTML“). Konečným cieľom je získať používateľské mená a heslá, ktoré sa následne použijú ako počiatočný vstupný bod pre neskoršie pokusy o infiltráciu.

Microsoft prirovnal prílohu k „skladačke“ a poznamenal, že jednotlivé časti súboru HTML sú navrhnuté tak, aby vyzerali neškodne a prekĺzli mimo bezpečnostného softvéru koncových bodov, len aby odhalili svoje skutočné farby, keď sú tieto segmenty dekódované a zostavené dohromady. Spoločnosť neidentifikovala hackerov stojacich za operáciou.

„Táto phishingová kampaň je príkladom modernej e-mailovej hrozby: sofistikovaná, vyhýbavá a neúnavne sa vyvíjajúca,“ uviedol v analýze tím Microsoft 365 Defender Threat Intelligence Team. “Príloha HTML je rozdelená do niekoľkých segmentov, vrátane súborov JavaScript používaných na odcudzenie hesiel, ktoré sú následne zakódované pomocou rôznych mechanizmov. Títo útočníci prešli od používania obyčajného kódu HTML k používaniu viacerých techník kódovania vrátane starých a nezvyčajných metód šifrovania, ako je Morseova abeceda.” , aby ste skryli tieto útočné segmenty

Otvorením prílohy sa spustí okno prehliadača, ktoré zobrazí falošné dialógové okno poverení Microsoft Office 365 nad rozmazaným dokumentom programu Excel. V dialógovom okne sa zobrazí správa vyzývajúca príjemcov, aby sa znova prihlásili z dôvodov, že ich prístup k dokumentu programu Excel údajne vypršal. V prípade, že používateľ zadá heslo, jednotlivec je upozornený, že zadané heslo je nesprávne, zatiaľ čo malvér tajne získava informácie na pozadí.

Hovorí sa, že kampaň prešla od svojho objavenia v júli 2020 10 iteráciami, pričom protivník pravidelne menil svoje metódy kódovania, aby zamaskoval škodlivú povahu prílohy HTML a rôznych segmentov útoku obsiahnutých v súbore.

Microsoft uviedol, že vo vlnách útokov vo februári a máji 2021 zistil použitie Morseovej abecedy, pričom sa našli neskoršie varianty phishingového balíka, ktorý nasmeroval obete na legitímnu stránku Office 365 namiesto zobrazenia falošnej chybovej správy po zadaní hesiel. .

„Útoky založené na e-mailoch pokračujú v nových pokusoch obísť riešenia zabezpečenia e-mailov,“ uviedli vedci. “V prípade tejto phishingovej kampane tieto pokusy zahŕňajú použitie viacvrstvového zahmlievania a šifrovacích mechanizmov pre známe existujúce typy súborov, ako je JavaScript. Viacvrstvové zahmlievanie v HTML môže tiež obchádzať bezpečnostné riešenia prehliadača.”