Gli attacchi di phishing sono in continua evoluzione e diventano sempre più sofisticati. L'ultimo, che ha preso di mira nomi utente e password, ha scelto di seguire la vecchia scuola e utilizzare il codice morse per evitare i sistemi di filtro della posta elettronica e altre misure di sicurezza.
Microsoft ha recentemente rivelato l'attacco di phishing, che ha affermato che utilizzava un & #8220;puzzle” tecnica oltre a misure come il codice Morse e altri metodi di crittografia per oscurare i suoi attacchi ed evitare il rilevamento. Il gruppo di aggressori ha utilizzato fatture in HTML di Excel o documenti Web come mezzo per distribuire moduli che hanno bloccato le credenziali per futuri tentativi di violazione.
In un recente post sul blog, Microsoft Security Intelligence ha dichiarato: “L'allegato HTML è diviso in diversi segmenti, inclusi i file JavaScript utilizzati per rubare le password, che vengono quindi codificati utilizzando vari meccanismi. Questi aggressori sono passati dall'utilizzo di codice HTML in chiaro all'utilizzo di più tecniche di codifica, inclusi metodi di crittografia vecchi e insoliti come il codice Morse, per nascondere questi segmenti di attacco.
“In effetti, l'allegato è paragonabile a un puzzle: da soli, i singoli segmenti del file HTML possono apparire innocui a livello di codice e possono quindi sfuggire alle soluzioni di sicurezza convenzionali. Solo quando questi segmenti vengono messi insieme e decodificati correttamente viene mostrato l'intento dannoso,” il post del blog aggiunto.
Gorodenkoff/Shutterstock.comMicrosoft ha trascorso più di un anno a indagare su questa campagna di phishing XLS.HTML. Gli aggressori hanno cambiato i loro meccanismi di offuscamento e crittografia all'incirca ogni 37 giorni, dimostrando la loro abilità e la loro elevata motivazione a mantenere l'operazione attiva e funzionante senza essere rilevati.
“Nell'iterazione di febbraio, i collegamenti al JavaScript i file sono stati codificati utilizzando ASCII quindi in codice Morse. Nel frattempo, a maggio, il nome di dominio dell'URL del kit di phishing è stato codificato in Escape prima che l'intero codice HTML fosse codificato utilizzando il codice Morse.”
Sebbene l'obiettivo principale dell'attacco di phishing fosse quello di raccogliere le credenziali di accesso degli utenti, ha anche raccolto prontamente dati sui profitti, come le posizioni degli utenti e gli indirizzi IP, che probabilmente prevedeva di utilizzare in attacchi futuri. Microsoft ha affermato che “Questa campagna di phishing è unica per quanto tempo impiegano gli aggressori a codificare il file HTML per aggirare i controlli di sicurezza.”
“La campagna di phishing XLS.HTML utilizza i social engineering per creare e-mail che imitano le normali transazioni commerciali finanziarie, in particolare inviando quelli che sembrano essere consigli di pagamento del fornitore.” La campagna rientra nella “compromissione della posta elettronica aziendale” categoria di attacchi, una truffa più redditizia del ransomware.
Utilizzando metodi meno appariscenti, come gli allegati di fogli di calcolo Excel, e quindi reindirizzando gli utenti a una falsa pagina di accesso con le credenziali di Microsoft Office 365 con la loro azienda logo (ad esempio), molti utenti hanno meno probabilità di alzare una bandiera rossa sull'attacco e inserire le proprie credenziali.
Sentiti libero di controllare il post sul blog di Microsoft per uno sguardo più approfondito all'attacco, inclusa la cronologia di come le tecniche di codifica sono cambiate di mese in mese.
tramite ZDNet