Los ataques de phishing están en constante evolución y son cada vez más sofisticados. La última, dirigida a nombres de usuario y contraseñas, optó por ir a la vieja escuela y use código morse para mantenerse alejado de los sistemas de filtro de correo electrónico y otras medidas de seguridad.
Microsoft reveló recientemente el ataque de phishing, que dijo que usaba una técnica de”rompecabezas”en además de medidas como el código Morse y otros métodos de cifrado para ocultar sus ataques y evitar la detección. El grupo de atacantes utilizó facturas en HTML de Excel o documentos web como un medio para distribuir formularios que obtenían credenciales para futuros intentos de violación.
En un entrada de blog reciente , Microsoft Security Intelligence declaró:“ El archivo adjunto HTML se divide en varios segmentos, incluidos los archivos JavaScript utilizados para robar contraseñas, que luego se codifican mediante varios mecanismos. Estos atacantes pasaron de usar código HTML de texto plano a emplear múltiples técnicas de codificación, incluidos métodos de cifrado antiguos e inusuales como el código Morse, para ocultar estos segmentos de ataque”.
“En efecto, el archivo adjunto es comparable a un rompecabezas: por sí mismos, los segmentos individuales del archivo HTML pueden parecer inofensivos a nivel de código y, por lo tanto, pueden pasar por alto las soluciones de seguridad convencionales. Solo cuando estos segmentos se juntan y decodifican correctamente, se muestra la intención maliciosa ”, agregó la publicación del blog.
Microsoft ha pasado más de un año investigando esta campaña de phishing XLS.HTML. Los atacantes cambiaron sus mecanismos de ofuscación y cifrado aproximadamente cada 37 días, demostrando su habilidad y alta motivación para mantener la operación en funcionamiento sin ser detectados.
“En la iteración de febrero, los enlaces a los archivos JavaScript se codificaron usando ASCII luego en código Morse. Mientras tanto, en mayo, el nombre de dominio de la URL del kit de phishing se codificó en Escape antes de que todo el código HTML se codificara con código Morse ”.
Si bien el objetivo principal del ataque de phishing era recopilar las credenciales de inicio de sesión del usuario, también recopiló fácilmente datos de ganancias, como ubicaciones de usuarios y direcciones IP, que probablemente planeaba usar en futuros ataques. Microsoft afirmó que”esta campaña de phishing es única en la medida en que los atacantes toman para codificar el archivo HTML para eludir los controles de seguridad”.
“La campaña de phishing XLS.HTML utiliza ingeniería social para crear correos electrónicos que imitan los correos electrónicos habituales relacionados con las finanzas transacciones comerciales, específicamente enviando lo que parece ser un consejo de pago del proveedor”. La campaña se incluye en la categoría de ataques de”compromiso de correo electrónico empresarial”, una estafa más lucrativa que el ransomware.
Al utilizar métodos menos llamativos, como archivos adjuntos de hojas de cálculo de Excel, y luego redirigir a los usuarios a un Microsoft Office 365 falso. página de inicio de sesión de credenciales con el logotipo de su empresa (por ejemplo), es menos probable que muchos usuarios muestren una bandera roja en el ataque e ingresen sus credenciales.
No dude en consultar publicación de blog de Microsoft para obtener una visión más detallada del ataque, incluida la línea de tiempo de cómo las técnicas de codificación cambiaron de un mes a otro.
a través de ZDNet
