Os invasores recorrem aos pontos e travessões do código Morse na campanha de faturamento de phishing.

A Microsoft revelou o funcionamento interno das técnicas de um grupo de ataque de phishing que usa uma técnica de 'quebra-cabeça' além de recursos incomuns como traços e pontos em código Morse para ocultar seus ataques.

O grupo está usando faturas em HTML do Excel ou documentos da web para distribuir formulários que capturam credenciais para esforços de hackers posteriores. A técnica é notável porque ignora os sistemas tradicionais de filtro de e-mail.

"O anexo HTML é dividido em vários segmentos, incluindo os arquivos JavaScript usados ​​para roubar senhas, que são então codificados usando vários mecanismos. Esses invasores passaram do uso de código HTML de texto simples para o emprego de várias técnicas de codificação, incluindo métodos de criptografia antigos e incomuns como o código Morse , para ocultar esses segmentos de ataque ", afirma o Microsoft Security Intelligence.


"Na verdade, o anexo é comparável a um quebra-cabeça: por si só, os segmentos individuais do arquivo HMTL podem parecer inofensivos no nível do código e podem, assim, escapar das soluções de segurança convencionais. Somente quando esses segmentos são colocados juntos e devidamente decodificados mostra a intenção maliciosa ", disse.

O principal objetivo do ataque é adquirir nomes de usuário e senhas, mas também coleta dados de lucro, como endereço IP e localização, para usar em tentativas de violação subsequentes. "Esta campanha de phishing é única na extensão que os invasores levam para codificar o arquivo HTML para contornar os controles de segurança", disse a Microsoft.

Os ataques se enquadram na categoria de comprometimento de e-mail comercial - um golpe altamente lucrativo que supera a indústria do crime cibernético de ransomware .

“A campanha de phishing XLS.HTML usa engenharia social para criar e-mails que imitam transações comerciais regulares relacionadas a finanças, especificamente enviando o que parece ser um aviso de pagamento do fornecedor. Em alguns dos e-mails, os invasores usam caracteres acentuados na linha de assunto”, diz a Microsoft.

O Excel e o assunto relacionado a finanças são o gancho que visa encorajar as vítimas a entregar credenciais.

"O uso de xls no nome do arquivo de anexo serve para alertar os usuários para esperar um arquivo do Excel. Quando o anexo é aberto, ele abre uma janela do navegador e exibe uma caixa de diálogo de credenciais falsas do Microsoft Office 365 em cima de um documento do Excel borrado. a caixa de diálogo pode exibir informações sobre seus alvos, como o endereço de e-mail e, em alguns casos, o logotipo da empresa. "

O elemento Código Morse do ataque é usado em conjunto com JavaScript, a linguagem de programação mais popular para desenvolvimento web.

“O código Morse é um método antigo e incomum de codificação que usa traços e pontos para representar os caracteres. Esse mecanismo foi observado nas ondas de fevereiro (“ Relatório / fatura da organização ”) e maio de 2021 (“ Folha de pagamento ”)”, observa a Microsoft.

"Na iteração de fevereiro, os links para os arquivos JavaScript foram codificados usando ASCII e depois em código Morse. Enquanto isso, em maio, o nome de domínio da URL do kit de phishing foi codificado em Escape antes que todo o código HTML fosse codificado em código Morse." O uso de código Morse em ataques de phishing foi detectado por Lawrence Abrams da Bleeping Computer em fevereiro.