Gli attacchi di phishing sono in continua evoluzione e diventano sempre più sofisticati. L’ultimo, che ha preso di mira nomi utente e password, ha scelto di seguire la vecchia scuola e usa il codice morse per evitare i sistemi di filtro della posta elettronica e altre misure di sicurezza.
Microsoft ha recentemente rivelato l’attacco di phishing, che ha affermato di aver utilizzato una tecnica del”puzzle”in oltre a misure come il codice Morse e altri metodi di crittografia per oscurare i suoi attacchi ed evitare il rilevamento. Il gruppo di aggressori ha utilizzato fatture in HTML di Excel o documenti Web come mezzo per distribuire moduli che hanno bloccato le credenziali per futuri tentativi di violazione.
In un post recente sul blog, Microsoft Security Intelligence ha dichiarato:”L’allegato HTML è diviso in diversi segmenti, inclusi i file JavaScript utilizzati per rubare le password, che vengono quindi codificati utilizzando vari meccanismi. Questi aggressori sono passati dall’utilizzo di codice HTML in chiaro all’utilizzo di più tecniche di codifica, inclusi metodi di crittografia vecchi e insoliti come il codice Morse, per nascondere questi segmenti di attacco.”
“In effetti, l’allegato è paragonabile a un puzzle: da soli, i singoli segmenti del file HTML possono apparire innocui a livello di codice e possono quindi superare le soluzioni di sicurezza convenzionali. Solo quando questi segmenti vengono messi insieme e decodificati correttamente, l’intento dannoso viene mostrato”, ha aggiunto il post sul blog.
Microsoft ha trascorso più di un anno a indagare su questa campagna di phishing XLS.HTML. Gli aggressori hanno cambiato i loro meccanismi di offuscamento e crittografia all’incirca ogni 37 giorni, dimostrando la loro abilità e l’elevata motivazione a mantenere l’operazione attiva e funzionante senza essere scoperti.
“Nell’iterazione di febbraio, i collegamenti ai file JavaScript sono stati codificati usando ASCII poi in codice Morse. Nel frattempo, a maggio, il nome di dominio dell’URL del kit di phishing è stato codificato in Escape prima che l’intero codice HTML fosse codificato utilizzando il codice Morse.”
Mentre l’obiettivo principale dell’attacco di phishing era raccogliere le credenziali di accesso dell’utente, ha anche raccolto prontamente dati sui profitti, come le posizioni degli utenti e gli indirizzi IP, che probabilmente prevedeva di utilizzare in attacchi futuri. Microsoft ha affermato che”Questa campagna di phishing è unica nelle lunghezze impiegate dagli aggressori per codificare il file HTML per aggirare i controlli di sicurezza.”
“La campagna di phishing XLS.HTML utilizza l’ingegneria sociale per creare e-mail che imitano le normali transazioni commerciali, in particolare inviando quello che sembra essere un consiglio di pagamento del fornitore.”La campagna rientra nella categoria di attacchi”compromissione e-mail aziendale”, una truffa più redditizia del ransomware.
Utilizzando metodi meno appariscenti, come gli allegati di fogli di calcolo Excel, e quindi reindirizzando gli utenti a un falso Microsoft Office 365 pagina di accesso delle credenziali con il logo della loro azienda (ad esempio), molti utenti hanno meno probabilità di alzare una bandiera rossa sull’attacco e inserire le proprie credenziali.
Sentiti libero di controllare Post sul blog di Microsoft per uno sguardo più approfondito sull’attacco, inclusa la cronologia di come le tecniche di codifica sono cambiate di mese in mese.
tramite ZDNet
