Notícias
Os invasores recorrem aos pontos e travessões do código Morse na campanha de faturamento de phishing.
A Microsoft revelou o funcionamento interno das técnicas de um grupo de ataque de phishing que usa uma técnica de 'quebra-cabeça' além de recursos incomuns como traços e pontos em código Morse para ocultar seus ataques.
O grupo está usando faturas em HTML do Excel ou documentos da web para distribuir formulários que capturam credenciais para esforços de hackers posteriores. A técnica é notável porque ignora os sistemas tradicionais de filtro de e-mail.
"O anexo HTML é dividido em vários segmentos, incluindo os arquivos JavaScript usados para roubar senhas, que são então codificados usando vários mecanismos. Esses invasores passaram do uso de código HTML de texto simples para o emprego de várias técnicas de codificação, incluindo métodos de criptografia antigos e incomuns como o código Morse , para ocultar esses segmentos de ataque ", afirma o Microsoft Security Intelligence.
"Na verdade, o anexo é comparável a um quebra-cabeça: por si só, os segmentos individuais do arquivo HMTL podem parecer inofensivos no nível do código e podem, assim, escapar das soluções de segurança convencionais. Somente quando esses segmentos são colocados juntos e devidamente decodificados mostra a intenção maliciosa ", disse.
O principal objetivo do ataque é adquirir nomes de usuário e senhas, mas também coleta dados de lucro, como endereço IP e localização, para usar em tentativas de violação subsequentes. "Esta campanha de phishing é única na extensão que os invasores levam para codificar o arquivo HTML para contornar os controles de segurança", disse a Microsoft.
Os ataques se enquadram na categoria de comprometimento de e-mail comercial - um golpe altamente lucrativo que supera a indústria do crime cibernético de ransomware .
“A campanha de phishing XLS.HTML usa engenharia social para criar e-mails que imitam transações comerciais regulares relacionadas a finanças, especificamente enviando o que parece ser um aviso de pagamento do fornecedor. Em alguns dos e-mails, os invasores usam caracteres acentuados na linha de assunto”, diz a Microsoft.
O Excel e o assunto relacionado a finanças são o gancho que visa encorajar as vítimas a entregar credenciais.
"O uso de xls no nome do arquivo de anexo serve para alertar os usuários para esperar um arquivo do Excel. Quando o anexo é aberto, ele abre uma janela do navegador e exibe uma caixa de diálogo de credenciais falsas do Microsoft Office 365 em cima de um documento do Excel borrado. a caixa de diálogo pode exibir informações sobre seus alvos, como o endereço de e-mail e, em alguns casos, o logotipo da empresa. "
O elemento Código Morse do ataque é usado em conjunto com JavaScript, a linguagem de programação mais popular para desenvolvimento web.
“O código Morse é um método antigo e incomum de codificação que usa traços e pontos para representar os caracteres. Esse mecanismo foi observado nas ondas de fevereiro (“ Relatório / fatura da organização ”) e maio de 2021 (“ Folha de pagamento ”)”, observa a Microsoft.
"Na iteração de fevereiro, os links para os arquivos JavaScript foram codificados usando ASCII e depois em código Morse. Enquanto isso, em maio, o nome de domínio da URL do kit de phishing foi codificado em Escape antes que todo o código HTML fosse codificado em código Morse." O uso de código Morse em ataques de phishing foi detectado por Lawrence Abrams da Bleeping Computer em fevereiro.