Firma Microsoft opublikowała nowe szczegóły dotyczące kampanii phishingowej, w której wykorzystano skalowalne taktyki, w tym wykorzystanie alfabetu Morse'a w celu uniknięcia wykrycia. Podczas całorocznego dochodzenia prowadzonego przez badaczy Microsoft Security Intelligence cyberprzestępcy stojący za kampanią zmieniali mechanizmy zaciemniania i szyfrowania średnio co 37 dni, aby zapobiec awariom ich działania. W samej kampanii wykorzystano załącznik XLS.HTML z motywem faktury podzielonym na kilka segmentów, zawierającym pliki JavaScript służące do kradzieży haseł, które następnie są szyfrowane przy użyciu różnych mechanizmów. Jak wynika z nowego wpisu na blogu, w trakcie dochodzenia prowadzonego przez firmę Microsoft napastnicy przeszli z używania zwykłego kodu HTML na stosowanie różnych technik szyfrowania, w tym starszych i nietypowych metod szyfrowania, takich jak kod Morse'a, aby ukryć te techniki szyfrowania i segmenty ataku. Aby uniknąć dalszego wykrycia, niektóre segmenty kodu użyte w kampanii nie były nawet obecne w samym załączniku i zamiast tego znajdowały się w kilku otwartych katalogach.
Fałszywe powiadomienie o płatności
Ta kampania phishingowa w formacie XLS.HTML wykorzystuje inżynierię społeczną do tworzenia wiadomości e-mail imitujących transakcje biznesowe związane z finansami w formie fałszywych awizo dotyczących płatności. Głównym celem kampanii jest zbieranie danych uwierzytelniających i chociaż początkowo zbierała nazwy użytkowników i hasła, w najnowszej wersji zaczęła również zbierać informacje. punkt dla kolejnych prób infiltracji. Chociaż w załączniku zastosowano format XLS, który informuje użytkowników, aby spodziewali się pliku Excel, po otwarciu załącznika otwiera się okno przeglądarki, które kieruje potencjalne ofiary na fałszywą stronę. Logowanie do Microsoft Office 365. Okno dialogowe na stronie prosi użytkowników o ponowne zalogowanie się, ponieważ ich dostęp do dokumentu Excel rzekomo wygasł. Jeśli jednak użytkownik wprowadzi swoje hasło, otrzyma fałszywą notatkę stwierdzającą, że przesłane hasło jest nieprawidłowe, a kontrolowany przez osobę atakującą zestaw do phishingu działający w tle zbiera jego dane uwierzytelniające. Tym, co wyróżnia tę kampanię, jest fakt, że stojący za nią cyberprzestępcy dołożyli wszelkich starań, aby zakodować plik HTML w taki sposób, aby ominąć kontrole bezpieczeństwa. Jak zawsze, użytkownicy powinni unikać otwierania wiadomości e-mail od nieznanych nadawców, zwłaszcza gdy proszą ich o zalogowanie się do usługi online w celu uzyskania dostępu do pliku lub proszą o włączenie makr.