Phishing-Angriffe entwickeln sich ständig weiter und werden immer raffinierter. Die neueste Version, die auf Benutzernamen und Passwörter abzielte, entschied sich für die alte Schule und verwenden Sie Morsecode, um sich von E-Mail-Filtersystemen und anderen Sicherheitsmaßnahmen fernzuhalten.
Microsoft hat kürzlich den Phishing-Angriff enthüllt, der angeblich eine”Puzzle”-Technik verwendet Zusätzlich zu Maßnahmen wie Morsecode und anderen Verschlüsselungsmethoden, um seine Angriffe zu verschleiern und eine Entdeckung zu vermeiden. Die Angreifergruppe nutzte Rechnungen in Excel-HTML-oder Webdokumenten, um Formulare zu verteilen, die Anmeldeinformationen für zukünftige Sicherheitsverletzungsversuche erbeuteten.
In einem neuer Blogbeitrag, Microsoft Security Intelligence erklärte:”Der HTML-Anhang ist in mehrere Segmente unterteilt, einschließlich der JavaScript-Dateien, die zum Stehlen von Passwörtern verwendet werden, die dann mit verschiedenen Mechanismen codiert werden. Diese Angreifer wechselten von der Verwendung von Klartext-HTML-Code zur Verwendung mehrerer Verschlüsselungstechniken, einschließlich alter und ungewöhnlicher Verschlüsselungsmethoden wie Morse-Code, um diese Angriffssegmente zu verbergen.“
„Der Anhang ist praktisch mit einem Puzzle vergleichbar: Für sich genommen können die einzelnen Segmente der HTML-Datei auf Code-Ebene harmlos erscheinen und damit an herkömmlichen Sicherheitslösungen vorbeigehen. Erst wenn diese Segmente zusammengestellt und richtig entschlüsselt werden, zeigt sich die böswillige Absicht“, fügte der Blogbeitrag hinzu.
Microsoft hat über ein Jahr damit verbracht, diese XLS.HTML-Phishing-Kampagne zu untersuchen. Die Angreifer änderten ungefähr alle 37 Tage ihre Verschleierungs-und Verschlüsselungsmechanismen und bewiesen damit ihr Können und ihre hohe Motivation, die Operation am Laufen zu halten und dabei unentdeckt zu bleiben.
„In der Februar-Iteration wurden Links zu den JavaScript-Dateien codiert mit ASCII dann im Morsecode. Im Mai wurde der Domainname der Phishing-Kit-URL in Escape codiert, bevor der gesamte HTML-Code mit Morsecode codiert wurde.“
Während das Hauptziel des Phishing-Angriffs darin bestand, Benutzeranmeldeinformationen zu sammeln, Es sammelte auch leicht Gewinndaten – wie Benutzerstandorte und IP-Adressen – die es wahrscheinlich bei zukünftigen Angriffen verwenden wollte. Microsoft behauptete:”Diese Phishing-Kampagne ist einzigartig in der Länge, die Angreifer benötigen, um die HTML-Datei zu codieren, um Sicherheitskontrollen zu umgehen.”
“Die XLS.HTML-Phishing-Kampagne verwendet Social Engineering, um E-Mails zu erstellen, die normale Finanzdaten nachahmen Geschäftstransaktionen, insbesondere das Versenden von scheinbar Zahlungsavisen für Verkäufer.“ Die Kampagne fällt in die Angriffskategorie „Kompromisse geschäftlicher E-Mails“, ein lukrativerer Betrug als Ransomware.
Durch die Verwendung weniger auffälliger Methoden wie Anhänge von Excel-Tabellen und anschließender Weiterleitung der Benutzer zu einem gefälschten Microsoft Office 365 Anmeldeseite mit dem Logo ihres Unternehmens (z. B.) ist es weniger wahrscheinlich, dass viele Benutzer bei dem Angriff eine rote Fahne heben und ihre Anmeldeinformationen eingeben.
Schauen Sie sich gerne Microsoft-Blogpost für einen tieferen Einblick in den Angriff, einschließlich der Zeitleiste, wie sich die Codierungstechniken von Monat zu Monat verändert haben.
über ZDNet