Ataki phishingowe stale ewoluują i stają się coraz bardziej wyrafinowane. Najnowsza, która dotyczyła nazw użytkowników i haseł, zdecydowała się przejść na starą szkołę i użyj kodu Morse’a, aby omijać systemy filtrowania poczty e-mail i inne środki bezpieczeństwa.
Microsoft niedawno ujawnił atak phishingowy, który, jak twierdził, wykorzystywał technikę „puzzli” w oprócz środków, takich jak alfabet Morse’a i inne metody szyfrowania, aby ukryć ataki i uniknąć wykrycia. Grupa atakujących wykorzystywała faktury w formacie Excel HTML lub dokumentach internetowych jako środek do rozpowszechniania formularzy, które wyłuskiwały dane uwierzytelniające do przyszłych prób naruszenia bezpieczeństwa.
W niedawny wpis na blogu, Microsoft Security Intelligence stwierdził: „Załącznik HTML jest podzielony na kilka segmentów, w tym pliki JavaScript używane do kradzieży haseł, które są następnie szyfrowane przy użyciu różnych mechanizmów. Ci atakujący przeszli od używania zwykłego kodu HTML do stosowania wielu technik kodowania, w tym starych i nietypowych metod szyfrowania, takich jak kod Morse’a, w celu ukrycia tych segmentów ataku”.
„W efekcie załącznik jest porównywalny do układanki.: same w sobie poszczególne segmenty pliku HTML mogą wydawać się nieszkodliwe na poziomie kodu, a tym samym mogą wymykać się konwencjonalnym rozwiązaniom zabezpieczającym. Tylko wtedy, gdy te segmenty są połączone i odpowiednio zdekodowane, ujawniają się złośliwe zamiary” – dodano wpis na blogu.
Microsoft poświęcił ponad rok na badanie tej kampanii phishingowej XLS.HTML. Osoby atakujące zmieniały swoje mechanizmy zaciemniania i szyfrowania mniej więcej co 37 dni, dowodząc swoich umiejętności i wysokiej motywacji do utrzymania działania i działania operacji, pozostając niewykrytym.
„W iteracji lutowej zakodowano łącza do plików JavaScript. używając ASCII, a następnie alfabetem Morse’a. Tymczasem w maju nazwa domeny adresu URL zestawu phishingowego została zakodowana w Escape, zanim cały kod HTML został zakodowany za pomocą kodu Morse’a”.
Podczas gdy głównym celem ataku phishingowego było zebranie danych logowania użytkownika, z łatwością zbierał również dane dotyczące zysków — takie jak lokalizacje użytkowników i adresy IP — które prawdopodobnie planował wykorzystać w przyszłych atakach. Microsoft twierdził, że „Ta kampania phishingowa jest wyjątkowa pod względem długości, jaką atakujący zajmują, aby zakodować plik HTML w celu ominięcia kontroli bezpieczeństwa”.
„Kampania phishingowa XLS.HTML wykorzystuje socjotechnikę do tworzenia wiadomości e-mail naśladujących zwykłe wiadomości związane z finansami transakcje biznesowe, w szczególności wysyłanie czegoś, co wydaje się być poradą dotyczącą płatności dostawcy”. Kampania należy do kategorii ataków „narażenia biznesowej poczty e-mail”, co jest bardziej lukratywnym oszustwem niż oprogramowanie ransomware.
Przy użyciu mniej efektownych metod, takich jak załączniki w arkuszach kalkulacyjnych Excel, a następnie przekierowywanie użytkowników do fałszywego pakietu Microsoft Office 365 strona logowania z danymi uwierzytelniającymi zawierająca logo ich firmy (na przykład), wielu użytkowników jest mniej skłonnych do podniesienia czerwonej flagi na temat ataku i wprowadzenia swoich danych uwierzytelniających.
Zapraszam do zapoznania się z Post na blogu firmy Microsoft, aby uzyskać bardziej dogłębne spojrzenie na atak, w tym harmonogram zmian technik kodowania z miesiąca na miesiąc.
przez ZDNet
