Codul Morse îi ajută pe infractorii cibernetici să evite detectarea
Microsoft a lansat noi detalii despre fișierul campanie de phishing care utilizează tactici sofisticate, inclusiv utilizarea Codul Morse să se sustragă detectării.
Pe parcursul anchetei de un an efectuate de cercetători din Informații de securitate MicrosoftInfractorii cibernetici din spatele campaniei și-au schimbat mecanismele de ofuscare și criptare în fiecare 37 de zile în medie, pentru a evita detectarea operațiunilor lor.
Campania în sine a folosit atașamentul XLS.HTML pe facturi, împărțit în mai multe secțiuni, inclusiv un fișier JavaScript Fișierele folosite pentru a fura parolele sunt apoi criptate folosind diverse mecanisme. Pe parcursul investigației Microsoft, atacatorii au trecut de la utilizarea codului HTML text simplu la utilizarea diferitelor tehnici de codificare, inclusiv unele metode de criptare vechi și neobișnuite, cum ar fi codul Morse, pentru a masca aceste părți de atac într-un sistem nou. Postare pe blog.
Pentru a evita descoperirea ulterioară, unele părți ale codului utilizate în campanie nu se aflau nici măcar în instalația în sine și, în schimb, se aflau într-un număr de directoare deschise.
notificări push false
Campania de phishing folosește fișiere XLS.HTML Inginerie sociala Pentru a crea e-mailuri care imită apariția tranzacțiilor comerciale legate de finanțare sub formă de notificări push false.
Scopul principal al campaniei este Acreditări de recoltare Și, în timp ce inițial a recoltat nume de utilizator și parole, iterațiile sale mai recente au început, de asemenea, să colecteze alte informații, cum ar fi adresele IP și locațiile pe care criminalii cibernetici din spatele lor le folosesc ca punct de intrare inițial pentru încercările ulterioare de intruziune.
Deși XLS este utilizat în fișierul atașament pentru a solicita utilizatorilor să se aștepte la un fișier Excel, atunci când atașamentul este deschis, un fișier este redat Browser În schimb, duce potențialele victime într-o fotografie falsă Microsoft Office 365 Pagina de logare. O casetă de dialog de pe pagină solicită utilizatorilor să se conecteze din nou, deoarece presupune că accesul lor la documentul Excel a expirat. Cu toate acestea, dacă utilizatorul își introduce parola, atunci va primi o notă falsă că parola furnizată este incorectă în timp ce grupul de phishing controlat de atacator care rulează în fundal își recoltează acreditările.
Ceea ce diferențiază această campanie este faptul că infractorii cibernetici din spatele ei s-au străduit să cripteze fișierul HTML în acest mod pentru a ocoli controalele de securitate. Ca întotdeauna, utilizatorii ar trebui să evite deschiderea e-mailurilor de la expeditori necunoscuți, mai ales atunci când li se cere să se conecteze la un serviciu online pentru a accesa un fișier sau pentru a solicita activarea macro-urilor.