Phishing les attaques sont en constante évolution et de plus en plus sophistiquées. Le dernier, qui ciblait les noms d'utilisateur et les mots de passe, a choisi d'aller à l'ancienne et d'utiliser le code morse pour éviter les systèmes de filtrage des e-mails et autres mesures de sécurité.
Microsoft a récemment révélé l'attaque de phishing, qui, selon lui, utilisait un & #8220;puzzle” technique en plus de mesures telles que le code Morse et d'autres méthodes de cryptage pour masquer ses attaques et éviter la détection. Le groupe d'attaquants a utilisé des factures dans Excel HTML ou des documents Web comme moyen de distribuer des formulaires qui accrochaient les informations d'identification pour de futures tentatives de violation.
Dans un récent article de blog, Microsoft Security Intelligence a déclaré : « La pièce jointe HTML est divisée en plusieurs segments, y compris les fichiers JavaScript utilisés pour voler les mots de passe, qui sont ensuite encodés à l'aide de divers mécanismes. Ces attaquants sont passés de l'utilisation de code HTML en texte brut à l'utilisation de plusieurs techniques de codage, y compris des méthodes de cryptage anciennes et inhabituelles telles que le code Morse, pour masquer ces segments d'attaque.”
“En effet, la pièce jointe est comparable à un puzzle : à eux seuls, les segments individuels du fichier HTML peuvent sembler inoffensifs au niveau du code et peuvent ainsi échapper aux solutions de sécurité conventionnelles. Ce n'est que lorsque ces segments sont assemblés et correctement décodés que l'intention malveillante apparaît,” le billet de blog a été ajouté.
Gorodenkoff/Shutterstock.com Microsoft a passé plus d'un an à enquêter sur cette campagne de phishing XLS.HTML. Les attaquants ont modifié leurs mécanismes d'obscurcissement et de chiffrement environ tous les 37 jours, prouvant leur compétence et leur grande motivation pour maintenir l'opération en marche sans être détectés.
“Dans l'itération de février, des liens vers le JavaScript les fichiers ont été encodés en ASCII puis en code Morse. Pendant ce temps, en mai, le nom de domaine de l'URL du kit de phishing a été encodé dans Escape avant que l'intégralité du code HTML ne soit encodé à l'aide du code Morse.”
Alors que l'objectif principal de l'attaque de phishing était de collecter les informations de connexion des utilisateurs, elle a également facilement collecté des données sur les bénéfices, telles que les emplacements des utilisateurs et les adresses IP, qu'elle prévoyait probablement d'utiliser lors de futures attaques. Microsoft a affirmé que “Cette campagne d'hameçonnage est unique en ce qui concerne la longueur que prennent les attaquants pour encoder le fichier HTML afin de contourner les contrôles de sécurité.”
“La campagne d'hameçonnage XLS.HTML utilise les réseaux sociaux. ingénierie pour créer des e-mails imitant les transactions commerciales régulières liées à la finance, en envoyant en particulier ce qui semble être des conseils de paiement aux fournisseurs.” La campagne relève du “compromis des e-mails professionnels” catégorie d'attaques, une arnaque plus lucrative que les ransomwares.
En utilisant des méthodes moins flashy, comme les pièces jointes de feuille de calcul Excel, puis en redirigeant les utilisateurs vers une fausse page de connexion des informations d'identification Microsoft Office 365 présentant les logo (par exemple), de nombreux utilisateurs sont moins susceptibles de lever un drapeau rouge sur l'attaque et d'entrer leurs informations d'identification.
N'hésitez pas à consulter le billet de blog de Microsoft pour un examen plus approfondi à l'attaque, y compris la chronologie de l'évolution des techniques d'encodage d'un mois à l'autre.
via ZDNet