Các cuộc tấn công lừa đảo ngày càng phát triển và ngày càng tinh vi hơn. Mới nhất, nhắm mục tiêu đến tên người dùng và mật khẩu, đã chọn chuyển sang trường cũ và sử dụng mã morse để tránh xa các hệ thống lọc email và các biện pháp bảo mật khác.
Gần đây, Microsoft đã tiết lộ về cuộc tấn công lừa đảo, mà họ cho biết đã sử dụng kỹ thuật”trò chơi ghép hình”trong bổ sung các biện pháp như mã Morse và các phương pháp mã hóa khác để che khuất các cuộc tấn công của nó và tránh bị phát hiện. Nhóm kẻ tấn công đã sử dụng các hóa đơn trong Excel HTML hoặc tài liệu web như một phương tiện để phân phối các biểu mẫu ghi lại thông tin xác thực cho các lần vi phạm trong tương lai.
Trong bài đăng trên blog gần đây , Microsoft Security Intelligence cho biết,“ Tệp đính kèm HTML được chia thành nhiều phân đoạn, bao gồm các tệp JavaScript được sử dụng để lấy cắp mật khẩu, sau đó được mã hóa bằng nhiều cơ chế khác nhau. Những kẻ tấn công này đã chuyển từ sử dụng mã HTML văn bản rõ sang sử dụng nhiều kỹ thuật mã hóa, bao gồm cả các phương pháp mã hóa cũ và khác thường như mã Morse, để ẩn các phân đoạn tấn công này. ”
“ Trên thực tế, tệp đính kèm có thể so sánh với trò chơi ghép hình: riêng chúng, các phân đoạn riêng lẻ của tệp HTML có thể trông vô hại ở cấp mã và do đó có thể vượt qua các giải pháp bảo mật thông thường. Chỉ khi các phân đoạn này được ghép lại với nhau và được giải mã đúng cách thì ý định độc hại mới lộ ra”, bài đăng trên blog cho biết thêm.
Microsoft đã dành hơn một năm để điều tra chiến dịch lừa đảo XLS.HTML này. Những kẻ tấn công đã thay đổi cơ chế mã hóa và mã hóa khoảng 37 ngày một lần, chứng tỏ kỹ năng và động lực cao của chúng để duy trì hoạt động và hoạt động trong khi vẫn không bị phát hiện.
“Trong lần lặp lại tháng 2, các liên kết đến tệp JavaScript đã được mã hóa bằng cách sử dụng ASCII sau đó trong mã Morse. Trong khi đó vào tháng 5, tên miền của URL bộ lừa đảo đã được mã hóa trong Escape trước khi toàn bộ mã HTML được mã hóa bằng mã Morse. ”
Mặc dù mục đích chính của cuộc tấn công lừa đảo là thu thập thông tin đăng nhập của người dùng, nó cũng dễ dàng thu thập dữ liệu lợi nhuận — như vị trí của người dùng và địa chỉ IP — mà nó có thể dự định sử dụng trong các cuộc tấn công trong tương lai. Microsoft tuyên bố rằng “Chiến dịch lừa đảo này là duy nhất trong khoảng thời gian mà những kẻ tấn công thực hiện để mã hóa tệp HTML nhằm vượt qua các kiểm soát bảo mật.”
“Chiến dịch lừa đảo XLS.HTML sử dụng kỹ thuật xã hội để tạo ra các email bắt chước thông thường liên quan đến tài chính giao dịch kinh doanh, cụ thể là gửi những gì dường như là lời khuyên thanh toán của nhà cung cấp. ” Chiến dịch nằm trong danh mục tấn công”xâm phạm email doanh nghiệp”, một trò lừa đảo sinh lợi hơn ransomware.
Bằng cách sử dụng các phương pháp ít hào nhoáng hơn, như tệp đính kèm bảng tính Excel, sau đó chuyển hướng người dùng đến Microsoft Office 365 giả mạo trang đăng nhập thông tin xác thực có biểu tượng của công ty họ (ví dụ), nhiều người dùng ít có khả năng giơ cờ đỏ về cuộc tấn công và nhập thông tin đăng nhập của họ.
Vui lòng xem Bài đăng trên blog của Microsoft để có cái nhìn sâu hơn về cuộc tấn công, bao gồm cả tiến trình về cách các kỹ thuật mã hóa thay đổi từ tháng này sang tháng khác.
qua ZDNet