Эксперты Microsoft рассказали о вредоносной кампании, которая длится уже около года. По их данным, хакеры меняют механизмы обфускации и шифрования в среднем каждые 37 дней, в том числе используют азбуку Морзе, чтобы скрыть свои следы и воровать учетные данные пользователей.
Как правило приманки фишеров замаскированы под счета-фактуры, связанные с финансовыми бизнес-операциями, а письма содержат файл HTML («XLS.HTML»). Конечная цель злоумышленников — собрать учетные данные пользователей, которые впоследствии используются в качестве отправной точки для атак.
Фишинговое письмо
Microsoft сравнивает эту кампанию со сложным паззлом, отмечая, что отдельные части HTML-файлов выглядят безобидными и ускользают от защитных продуктов, но затем собираются вместе и декодируются, раскрывая свое истинное предназначение.
Схема атаки
При открытии вредоносного вложения открывается окно браузера, в котором отображается фиктивное окно для ввода учетных данных Microsoft Office 365 (поверх размытого документа Excel). В этом окне пользователя призывают снова войти в систему, так как его доступ к документу Excel якобы истек. Если человек попадается на удочку мошенников и вводит пароль, он получает сообщение о том, что введенный пароль неверен, тогда как на самом деле малварь незаметно похищает данные.
Исследователи сообщают, что эти атаки начались в июле 2020 года, и тех пор кампания претерпела около десяти итераций, во время которых злоумышленники меняли методы кодирования, чтобы замаскировать вредоносные HTML-вложения.
Хакер.ру
Как правило приманки фишеров замаскированы под счета-фактуры, связанные с финансовыми бизнес-операциями, а письма содержат файл HTML («XLS.HTML»). Конечная цель злоумышленников — собрать учетные данные пользователей, которые впоследствии используются в качестве отправной точки для атак.
Фишинговое письмо
Microsoft сравнивает эту кампанию со сложным паззлом, отмечая, что отдельные части HTML-файлов выглядят безобидными и ускользают от защитных продуктов, но затем собираются вместе и декодируются, раскрывая свое истинное предназначение.
Схема атаки
При открытии вредоносного вложения открывается окно браузера, в котором отображается фиктивное окно для ввода учетных данных Microsoft Office 365 (поверх размытого документа Excel). В этом окне пользователя призывают снова войти в систему, так как его доступ к документу Excel якобы истек. Если человек попадается на удочку мошенников и вводит пароль, он получает сообщение о том, что введенный пароль неверен, тогда как на самом деле малварь незаметно похищает данные.
Исследователи сообщают, что эти атаки начались в июле 2020 года, и тех пор кампания претерпела около десяти итераций, во время которых злоумышленники меняли методы кодирования, чтобы замаскировать вредоносные HTML-вложения.
Напомню, что в феврале текущего года об использовании морзянки фишерами предупреждало издание Bleeping Computer.
Хакер.ру
