Share This
Связаться со мной
Крути в низ
Categories
//Новая фишинговая атака использует азбуку Морзе для сокрытия вредоносных URL-адресов

Новая фишинговая атака использует азбуку Морзе для сокрытия вредоносных URL-адресов

08.02.2021Category : My Habr

novaja fishingovaja ataka ispolzuet azbuku morze dlja sokrytija vredonosnyh url adresov 79fba05 - Новая фишинговая атака использует азбуку Морзе для сокрытия вредоносных URL-адресов

По информации Bleeping Computer, злоумышленники начали в сети Интернет необычную целенаправленную фишинговую кампанию. Атака включает в себя новую технику обфускации, заключающуюся в использовании кода Морзе для сокрытия вредоносных URL-адресов во вложениях электронной почты, чтобы обойти системы безопасности почтовых шлюзов и почтовых фильтров.

Первым о появлении на этой неделе нового вектора фишинговой атаки рассказал пользователь Reddit.

Эксперты Bleeping Computer не смогли найти отсылки на применение азбуки Морзе в прошлом для фишинговых атак. Фактически в начале февраля этого года появился новый метод фишинга с нестандартной, но интерпретируемой экспертами схемой обфускации. Многочисленные образцы с примерами этой целевой атаки стали появляться в службе VirusTotal со 2 февраля 2021 года.

Сэмюэль Морзе и Альфред Вейл изобрели азбуку Морзе в 1838 году как способ передачи последовательных сигналов с помощью телеграфа. При использовании кода Морзе каждая буква и цифра кодируются как серия точек (короткий звук) и тире (длинный звук). Спустя 183 года этот алгоритм начали использовать сетевые злоумышленники.

Специалисты Bleeping Computer пояснили, что новая фишинговая атака начинается с электронного письма, отправляемого на адреса определенных компаний с темой вроде «Название_компании_Счет_номер_Февраль_02/03/2021».

novaja fishingovaja ataka ispolzuet azbuku morze dlja sokrytija vredonosnyh url adresov 3f318f4 - Новая фишинговая атака использует азбуку Морзе для сокрытия вредоносных URL-адресов

Фишинговое электронное письмо содержит вложение в формате HTML с правдоподобным названием, которое выглядит как оригинальный счет к компании в формате Excel, например, «[название_компании] _счет_ [номер] ._xlsx.hTML».

Поскольку в этом фишинговом письме используются вложения с двойным расширением (XLSX и HTML), то атака может быть обнаружена внимательными пользователями еще на этапе получения письма, если у него в системе включен показ расширений файлов Windows. Эта опция может упростить обнаружение таких подозрительных вложений.

При просмотре присылаемого файла в текстовом редакторе можно заметить, что у него внутри есть код JavaScript, который сопоставляет буквы и цифры с азбукой Морзе. Например, буква «a» отображается как «.-», а буква «b» описана как «-…» и так далее.

novaja fishingovaja ataka ispolzuet azbuku morze dlja sokrytija vredonosnyh url adresov c715341 - Новая фишинговая атака использует азбуку Морзе для сокрытия вредоносных URL-адресов

Пример части кода JavaScript в фишинговом вложении.

После открытия пользователем присланного файла запускается скрипт, который вызывает функцию decodeMorse (). Она декодирует строки кода Морзе в шестнадцатеричную строку. Далее эта шестнадцатеричная строка декодируется в теги JavaScript, которые вставляются в окончательно сформированную фишинговую HTML-страницу.

novaja fishingovaja ataka ispolzuet azbuku morze dlja sokrytija vredonosnyh url adresov fcb9b27 - Новая фишинговая атака использует азбуку Морзе для сокрытия вредоносных URL-адресов

Пример декодированных тегов JavaScript.

Эти внедренные скрипты в сочетании с вложением HTML содержат ссылки на различные сторонние ресурсы, используемые для отображения поддельной электронной таблицы Excel, в которой указано, что время сессии пользователя истекло. Ему предлагается ввести пароль еще раз.

novaja fishingovaja ataka ispolzuet azbuku morze dlja sokrytija vredonosnyh url adresov e69355c - Новая фишинговая атака использует азбуку Морзе для сокрытия вредоносных URL-адресов

Активное HTML-вложение, отображающее фишинговую форму входа в Office 365.

Если пользователь введет свой пароль, то скрипт отправляет эти данные на удаленный сайт, где злоумышленники собирают учетные данные сотрудников различных компаний для выполнения следующих этапов сетевой атаки.

Эксперты Bleeping Computer уточнили, что данная фишинговая кампания является узконаправленной. При ее активации создаются веб-формы с логотипами различных компаний, чтобы убедить пользователей в безопасности и заставить из действовать по сценарию злоумышленников. Примечательно, что если логотип компании недоступен, то в атаке используется логотип Office 365.

Издание Bleeping Computer уточнило, что как минимум одиннадцать компаний подверглись этой фишинговой атаке, включая SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti и Capital Four.

Специалисты Bleeping Computer напомнили, что с каждым днем ​​фишинговые атаки становятся все более изощренными, поскольку системы безопасности почтовых шлюзов лучше обнаруживают вредоносные электронные письма и фишинговые вложения. В связи с этим каждый пользователь должен обращать пристальное внимание на URL-адреса и имена вложений перед их открытием или отправкой какой-либо информации. Если что-то выглядит подозрительно, то сотрудники компаний должны сообщать ИБ-службе или сетевым администраторам об инциденте.

  • 0 views
  • 0 Comment

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Свежие комментарии

    Рубрики

    About Author 01.

    Roman Spiridonov
    Roman Spiridonov

    Привет ! Мне 38 лет, я работаю в области информационных технологий более 4 лет. Тут собрано самое интересное.

    Our Instagram 04.

    Categories 05.

    © Speccy 2020 / All rights reserved

    Связаться со мной
    Close