Новая фишинговая атака использует азбуку Морзе для сокрытия вредоносных URL-адресов

0
6

Новая фишинговая атака использует азбуку Морзе для сокрытия вредоносных URL-адресов

По информации Bleeping Computer, злоумышленники начали в сети Интернет необычную целенаправленную фишинговую кампанию. Атака включает в себя новую технику обфускации, заключающуюся в использовании кода Морзе для сокрытия вредоносных URL-адресов во вложениях электронной почты, чтобы обойти системы безопасности почтовых шлюзов и почтовых фильтров.

Первым о появлении на этой неделе нового вектора фишинговой атаки рассказал пользователь Reddit.

Эксперты Bleeping Computer не смогли найти отсылки на применение азбуки Морзе в прошлом для фишинговых атак. Фактически в начале февраля этого года появился новый метод фишинга с нестандартной, но интерпретируемой экспертами схемой обфускации. Многочисленные образцы с примерами этой целевой атаки стали появляться в службе VirusTotal со 2 февраля 2021 года.

Сэмюэль Морзе и Альфред Вейл изобрели азбуку Морзе в 1838 году как способ передачи последовательных сигналов с помощью телеграфа. При использовании кода Морзе каждая буква и цифра кодируются как серия точек (короткий звук) и тире (длинный звук). Спустя 183 года этот алгоритм начали использовать сетевые злоумышленники.

ЧИТАТЬ ТАКЖЕ:  Figma: Scroll to новая фича

Специалисты Bleeping Computer пояснили, что новая фишинговая атака начинается с электронного письма, отправляемого на адреса определенных компаний с темой вроде «Название_компании_Счет_номер_Февраль_02/03/2021».

Новая фишинговая атака использует азбуку Морзе для сокрытия вредоносных URL-адресов

Фишинговое электронное письмо содержит вложение в формате HTML с правдоподобным названием, которое выглядит как оригинальный счет к компании в формате Excel, например, «[название_компании] _счет_ [номер] ._xlsx.hTML».

Поскольку в этом фишинговом письме используются вложения с двойным расширением (XLSX и HTML), то атака может быть обнаружена внимательными пользователями еще на этапе получения письма, если у него в системе включен показ расширений файлов Windows. Эта опция может упростить обнаружение таких подозрительных вложений.

При просмотре присылаемого файла в текстовом редакторе можно заметить, что у него внутри есть код JavaScript, который сопоставляет буквы и цифры с азбукой Морзе. Например, буква «a» отображается как «.-», а буква «b» описана как «-…» и так далее.

ЧИТАТЬ ТАКЖЕ:  В мессенджерах Signal, Facebook и Google нашли «дыры» звонков, с которыми пользователя можно было прослушивать до снятии

Новая фишинговая атака использует азбуку Морзе для сокрытия вредоносных URL-адресов

Пример части кода JavaScript в фишинговом вложении.

После открытия пользователем присланного файла запускается скрипт, который вызывает функцию decodeMorse (). Она декодирует строки кода Морзе в шестнадцатеричную строку. Далее эта шестнадцатеричная строка декодируется в теги JavaScript, которые вставляются в окончательно сформированную фишинговую HTML-страницу.

Новая фишинговая атака использует азбуку Морзе для сокрытия вредоносных URL-адресов

Пример декодированных тегов JavaScript.

Эти внедренные скрипты в сочетании с вложением HTML содержат ссылки на различные сторонние ресурсы, используемые для отображения поддельной электронной таблицы Excel, в которой указано, что время сессии пользователя истекло. Ему предлагается ввести пароль еще раз.

Новая фишинговая атака использует азбуку Морзе для сокрытия вредоносных URL-адресов

Активное HTML-вложение, отображающее фишинговую форму входа в Office 365.

Если пользователь введет свой пароль, то скрипт отправляет эти данные на удаленный сайт, где злоумышленники собирают учетные данные сотрудников различных компаний для выполнения следующих этапов сетевой атаки.

Эксперты Bleeping Computer уточнили, что данная фишинговая кампания является узконаправленной. При ее активации создаются веб-формы с логотипами различных компаний, чтобы убедить пользователей в безопасности и заставить из действовать по сценарию злоумышленников. Примечательно, что если логотип компании недоступен, то в атаке используется логотип Office 365.

ЧИТАТЬ ТАКЖЕ:  ЕКА раскрыло подробности строительства европейского модуля Lunar Gateway

Издание Bleeping Computer уточнило, что как минимум одиннадцать компаний подверглись этой фишинговой атаке, включая SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti и Capital Four.

Специалисты Bleeping Computer напомнили, что с каждым днем ​​фишинговые атаки становятся все более изощренными, поскольку системы безопасности почтовых шлюзов лучше обнаруживают вредоносные электронные письма и фишинговые вложения. В связи с этим каждый пользователь должен обращать пристальное внимание на URL-адреса и имена вложений перед их открытием или отправкой какой-либо информации. Если что-то выглядит подозрительно, то сотрудники компаний должны сообщать ИБ-службе или сетевым администраторам об инциденте.