Фишинговые атаки постоянно развиваются и становятся все более изощренными. Последняя версия, нацеленная на имена пользователей и пароли, предпочла использовать старую школу и использовать азбуку Морзе , чтобы избегать систем фильтрации электронной почты и других мер безопасности.
Microsoft недавно раскрыла фишинговую атаку, которая, по ее словам, использовала технику« головоломки »в в дополнение к таким мерам, как азбука Морзе и другие методы шифрования, чтобы скрыть атаки и избежать обнаружения. Группа злоумышленников использовала счета-фактуры в HTML-формате Excel или веб-документах в качестве средства для распространения форм, содержащих учетные данные для будущих попыток взлома.
В недавняя запись в блоге , Microsoft Security Intelligence заявила:« Вложение HTML разделено на несколько сегментов, включая файлы JavaScript, используемые для кражи паролей, которые затем кодируются с использованием различных механизмов. Эти злоумышленники перешли от использования открытого текста HTML-кода к использованию нескольких методов кодирования, включая старые и необычные методы шифрования, такие как азбука Морзе, чтобы скрыть эти сегменты атаки ».
« По сути, вложение можно сравнить с головоломкой.: сами по себе отдельные сегменты HTML-файла могут казаться безвредными на уровне кода и, таким образом, могут ускользать от традиционных решений безопасности. Злой умысел проявляется только тогда, когда эти сегменты объединены и правильно декодированы »,-добавлено в сообщении блога.
Microsoft потратила больше года на расследование этой фишинговой кампании XLS.HTML. Злоумышленники меняли свои механизмы обфускации и шифрования примерно каждые 37 дней, доказывая свои навыки и высокую мотивацию, чтобы продолжать работу, оставаясь незамеченными.
«В февральской итерации ссылки на файлы JavaScript были закодированы. используя ASCII, затем в коде Морзе. Между тем в мае доменное имя URL-адреса фишингового комплекта было закодировано в Escape до того, как весь HTML-код был закодирован с использованием кода Морзе ».
Хотя основной целью фишинг-атаки был сбор учетных данных пользователя, он также легко собирал данные о прибыли, такие как местоположение пользователей и IP-адреса, которые, вероятно, планировалось использовать в будущих атаках. Microsoft заявила, что «эта фишинговая кампания уникальна по той длине, которую злоумышленники используют для кодирования HTML-файла, чтобы обойти меры безопасности».
«Фишинговая кампания XLS.HTML использует социальную инженерию для создания электронных писем, имитирующих обычные финансовые сообщения. бизнес-транзакции, в частности, отправка того, что кажется уведомлением об оплате поставщикам ». Кампания подпадает под категорию атак «компрометация корпоративной электронной почты», более прибыльное мошенничество, чем программы-вымогатели.
Использование менее ярких методов, таких как вложения в электронные таблицы Excel, а затем перенаправление пользователей на поддельный Microsoft Office 365 на странице входа с учетными данными с логотипом своей компании (например) многие пользователи с меньшей вероятностью поднимут красный флаг при атаке и введут свои учетные данные.
Не стесняйтесь проверить сообщение в блоге Microsoft , где более подробно рассматривается атака, включая график изменения методов кодирования от месяца к месяцу.
через ZDNet