“Microsoft ha rivelato il funzionamento interno delle tecniche di un gruppo di attacchi di phishing che utilizza una tecnica di “puzzle” oltre a funzionalità insolite come trattini e punti del codice Morse per nascondere i suoi attacchi.

Il gruppo utilizza fatture in HTML di Excel o documenti Web per distribuire moduli che acquisiscono credenziali per successivi tentativi di hacking. La tecnica è notevole perché aggira i tradizionali sistemi di filtro della posta elettronica.

L’allegato HTML è diviso in diversi segmenti, inclusi i file JavaScript utilizzati per rubare le password, che vengono quindi codificati utilizzando vari meccanismi. Questi aggressori sono passati dall’utilizzo di codice HTML in chiaro all’utilizzo di più tecniche di codifica, inclusi metodi di crittografia vecchi e insoliti come il codice Morse, per nascondere questi segmenti di attacco“, conferma la Microsoft Security Intelligence – “In effetti, l’allegato è paragonabile a un puzzle: da soli, i singoli segmenti del file HTML possono apparire innocui a livello di codice e possono quindi sfuggire alle soluzioni di sicurezza convenzionali. Solo quando questi segmenti vengono messi insieme e decodificati correttamente mostrano l’intento dannoso“.

Inoltre, gli hacker cambiano i loro meccanismi di crittografia e offuscamento ogni 37 giorni, operazione che viene eseguita regolarmente. Ciò significa che la loro nuova tattica è efficiente nell’eludere costantemente il rilevamento e nel mantenere in esecuzione l’operazione di furto di credenziali.

L’obiettivo principale dell’attacco è acquisire nomi utente e password, ma raccoglie anche dati di profitto come indirizzo IP e posizione da utilizzare per successivi tentativi di violazione. “Questa campagna di phishing è unica nella lunghezza che gli aggressori impiegano per codificare il file HTML per aggirare i controlli di sicurezza“, ha affermato Microsoft.

Gli attacchi rientrano nella categoria della Business Email Compromise,  una truffa altamente redditizia che supera di gran lunga l’industria del crimine informatico ransomware.

La campagna di phishing XLS.HTML utilizza l’ingegneria sociale per creare e-mail che imitano le normali transazioni commerciali finanziarie, in particolare inviando quello che sembra essere un consiglio di pagamento del fornitore. In alcune e-mail, gli aggressori utilizzano caratteri accentati nella riga dell’oggetto“,continua Microsoft.

Excel e l’argomento relativo alla finanza sono il gancio che ha lo scopo di incoraggiare le vittime a consegnare le credenziali.

L’utilizzo di xls nel nome del file allegato ha lo scopo di invitare gli utenti ad aspettarsi un file Excel. Quando l’allegato viene aperto, avvia una finestra del browser e visualizza una finestra di dialogo delle credenziali di Microsoft Office 365 fasulla sopra un documento Excel sfocato. In particolare, la finestra di dialogo può visualizzare informazioni sui suoi obiettivi, come il loro indirizzo e-mail e, in alcuni casi, il logo della loro azienda.

L’elemento Codice Morse dell’attacco viene utilizzato insieme a JavaScript, il linguaggio di programmazione più popolare per lo sviluppo web.

Il codice Morse è un metodo di codifica vecchio e insolito che utilizza trattini e punti per rappresentare i caratteri. Questo meccanismo è stato osservato nelle ondate di febbraio (“Rapporto/fattura dell’organizzazione”) e di maggio 2021 (“Paghe”)“, osserva Microsoft.

“Nell’iterazione di febbraio, i collegamenti ai file JavaScript sono stati codificati utilizzando ASCII e poi in codice Morse. Nel frattempo, a maggio, il nome di dominio dell’URL del kit di phishing è stato codificato in Escape prima che l’intero codice HTML fosse codificato utilizzando il codice Morse.” ”

 

https://www.zdnet.com/article/this-unique-phishing-attack-uses-morse-code-to-hide-its-approach/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE