Новая целенаправленная фишинговая кампания включает новую технику обфускации, заключающуюся в использовании кода Морзе для сокрытия вредоносных URL-адресов во вложениях электронной почты.
Сэмюэл Морс и Альфред Вейл изобрели азбуку Морзе как способ передачи сообщений по телеграфу. При использовании кода Морзе каждая буква и цифра кодируются как серия точек (короткий звук) и тире (длинный звук).
Начиная с прошлой недели злоумышленник начал использовать азбуку Морзе, чтобы скрыть вредоносные URL-адреса в своей фишинговой форме, чтобы обойти безопасные почтовые шлюзы и почтовые фильтры.
BleepingComputer не смог найти никаких ссылок на азбуку Морзе, использовавшуюся в прошлом для фишинговых атак, что сделало это новым методом обфускации
Новая фишинговая атака с кодом Морзе
Узнав об этой атаке из сообщения на Reddit , BleepingComputer смог найти многочисленные образцы целевой атаки, загруженные в VirusTotal со 2 февраля 2021 года.Фишинговая атака начинается с электронного письма, выдаваемого за счет компании с темой письма вроде «Revenue_payment_invoice Февраль_Среда 02/03/2021».
Фишинговая электронная почта
Это электронное письмо содержит вложение в формате HTML с таким названием, которое выглядит как счет компании в формате Excel. Эти вложения называются в формате «[название_компании] _счет_ [номер] ._ xlsx.hTML».
Например, если целью был BleepingComputer, вложение будет называться «bleepingcomputer_invoice_1308._xlsx.hTML».
При просмотре вложения в текстовом редакторе вы можете увидеть, что они включают JavaScript, который сопоставляет буквы и цифры с азбукой Морзе. Например, буква « a » отображается в « .- », а буква « b » отображается в « -... », как показано ниже.
Исходный код HTML-фишинговое вложение
Затем сценарий вызывает функцию decodeMorse () для декодирования строки кода Морзе в шестнадцатеричную строку. Эта шестнадцатеричная строка далее декодируется в теги JavaScript, которые вставляются в HTML-страницу.
Декодированные теги JavaScriptЭти внедренные скрипты в сочетании с вложением HTML содержат различные ресурсы, необходимые для визуализации поддельной электронной таблицы Excel, в которой указано, что время их входа истекло, и предлагается ввести пароль еще раз.
HTML-вложение, отображающее фишинговую форму входа
Как только пользователь вводит свой пароль, форма отправляет пароль на удаленный сайт, где злоумышленники могут собрать учетные данные для входа.
Эта кампания является очень целевой: злоумышленник использует службу logo.clearbit.com для вставки логотипов компаний-получателей в форму входа, чтобы сделать ее более убедительной. Если логотип недоступен, он использует общий логотип Office 365, как показано на изображении выше.
BleepingComputer видел одиннадцать компаний, подвергшихся этой фишинг-атаке, в том числе SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti и Capital Four.
С каждым днем фишинговые атаки становятся все более изощренными, поскольку почтовые шлюзы лучше обнаруживают вредоносные электронные письма.
В связи с этим каждый должен обращать пристальное внимание на URL-адреса и имена вложений перед отправкой любой информации. Если что-то выглядит подозрительно, получателям следует связаться со своими сетевыми администраторами для дальнейшего расследования.
Поскольку в этом фишинговом письме используются вложения с двойным расширением (XLX и HTML), важно убедиться, что расширения файлов Windows включены, чтобы упростить обнаружение подозрительных вложений.
