Phishing-aanvallen evolueren voortdurend en worden steeds geavanceerder. De nieuwste, die zich richtte op gebruikersnamen en wachtwoorden, koos ervoor om old school te gaan en gebruik morsecode om e-mailfiltersystemen en andere beveiligingsmaatregelen te vermijden.
Microsoft onthulde onlangs de phishing-aanval, die naar eigen zeggen een”puzzel”-techniek gebruikte in naast maatregelen zoals morsecode en andere coderingsmethoden om de aanvallen te verdoezelen en detectie te voorkomen. De aanvallersgroep gebruikte facturen in Excel HTML of webdocumenten om formulieren te verspreiden die inloggegevens voor toekomstige pogingen tot inbreuk vasthielden.
In een recent blogbericht, Microsoft Security Intelligence verklaarde:”De HTML-bijlage is verdeeld in verschillende segmenten, inclusief de JavaScript-bestanden die worden gebruikt om wachtwoorden te stelen, die vervolgens worden gecodeerd met behulp van verschillende mechanismen. Deze aanvallers zijn overgestapt van het gebruik van HTML-code in platte tekst naar het gebruik van meerdere coderingstechnieken, waaronder oude en ongebruikelijke coderingsmethoden zoals morsecode, om deze aanvalssegmenten te verbergen.”
“In feite is de bijlage vergelijkbaar met een legpuzzel: op zichzelf kunnen de afzonderlijke segmenten van het HTML-bestand op codeniveau onschadelijk lijken en zo voorbij conventionele beveiligingsoplossingen glippen. Alleen wanneer deze segmenten worden samengevoegd en correct worden gedecodeerd, wordt de kwaadaardige bedoeling zichtbaar”, voegde de blogpost eraan toe.
Microsoft heeft meer dan een jaar onderzoek gedaan naar deze XLS.HTML phishing-campagne. De aanvallers veranderden hun verduisterings-en versleutelingsmechanismen ongeveer elke 37 dagen, wat hun vaardigheid en hoge motivatie aantoonde om de operatie draaiende te houden en onopgemerkt te blijven.
“In de februari-iteratie werden links naar de JavaScript-bestanden gecodeerd met behulp van ASCII en vervolgens in morsecode. Ondertussen was in mei de domeinnaam van de phishingkit-URL gecodeerd in Escape voordat de volledige HTML-code werd gecodeerd met morsecode.”
Hoewel het primaire doel van de phishing-aanval was om inloggegevens van gebruikers te verzamelen, het verzamelde ook gemakkelijk winstgegevens, zoals gebruikerslocaties en IP-adressen, die het waarschijnlijk van plan was te gebruiken bij toekomstige aanvallen. Microsoft beweerde dat”Deze phishing-campagne uniek is in de lengte die aanvallers nemen om het HTML-bestand te coderen om beveiligingscontroles te omzeilen.”
“De XLS.HTML phishing-campagne maakt gebruik van social engineering om e-mails te maken die de reguliere financiële gerelateerde nabootsen. zakelijke transacties, met name het verzenden van wat lijkt op betalingsadvies van leveranciers.” De campagne valt onder de aanvalscategorie”compromitterende zakelijke e-mail”, een meer lucratieve zwendel dan ransomware.
Door minder flitsende methoden te gebruiken, zoals Excel-spreadsheetbijlagen, en gebruikers vervolgens om te leiden naar een nep-Microsoft Office 365 login-pagina met hun bedrijfslogo (bijvoorbeeld), veel gebruikers zullen minder snel een rode vlag op de aanval afwerpen en hun inloggegevens invoeren.
Kijk gerust eens naar Microsofts blogbericht voor een meer diepgaande kijk op de aanval, inclusief de tijdlijn van hoe de coderingstechnieken van maand tot maand veranderden. p>
via ZDNet
