[Информационная безопасность, JavaScript, История IT, Софт, IT-компании] Новая фишинговая атака использует азбуку Морзе для сокрытия вредоносных URL-адресов

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
08-Фев-2021 01:31


По информации Bleeping Computer, злоумышленники начали в сети Интернет необычную целенаправленную фишинговую кампанию. Атака включает в себя новую технику обфускации, заключающуюся в использовании кода Морзе для сокрытия вредоносных URL-адресов во вложениях электронной почты, чтобы обойти системы безопасности почтовых шлюзов и почтовых фильтров.
Первым о появлении на этой неделе нового вектора фишинговой атаки рассказал пользователь Reddit.
Эксперты Bleeping Computer не смогли найти отсылки на применение азбуки Морзе в прошлом для фишинговых атак. Фактически в начале февраля этого года появился новый метод фишинга с нестандартной, но интерпретируемой экспертами схемой обфускации. Многочисленные образцы с примерами этой целевой атаки стали появляться в службе VirusTotal со 2 февраля 2021 года.
Сэмюэль Морзе и Альфред Вейл изобрели азбуку Морзе в 1838 году как способ передачи последовательных сигналов с помощью телеграфа. При использовании кода Морзе каждая буква и цифра кодируются как серия точек (короткий звук) и тире (длинный звук). Спустя 183 года этот алгоритм начали использовать сетевые злоумышленники.
Специалисты Bleeping Computer пояснили, что новая фишинговая атака начинается с электронного письма, отправляемого на адреса определенных компаний с темой вроде «Название_компании_Счет_номер_Февраль_02/03/2021».

Фишинговое электронное письмо содержит вложение в формате HTML с правдоподобным названием, которое выглядит как оригинальный счет к компании в формате Excel, например, «[название_компании] _счет_ [номер] ._xlsx.hTML».
Поскольку в этом фишинговом письме используются вложения с двойным расширением (XLSX и HTML), то атака может быть обнаружена внимательными пользователями еще на этапе получения письма, если у него в системе включен показ расширений файлов Windows. Эта опция может упростить обнаружение таких подозрительных вложений.
При просмотре присылаемого файла в текстовом редакторе можно заметить, что у него внутри есть код JavaScript, который сопоставляет буквы и цифры с азбукой Морзе. Например, буква «a» отображается как «.-», а буква «b» описана как «-...» и так далее.

Пример части кода JavaScript в фишинговом вложении.
После открытия пользователем присланного файла запускается скрипт, который вызывает функцию decodeMorse (). Она декодирует строки кода Морзе в шестнадцатеричную строку. Далее эта шестнадцатеричная строка декодируется в теги JavaScript, которые вставляются в окончательно сформированную фишинговую HTML-страницу.

Пример декодированных тегов JavaScript.
Эти внедренные скрипты в сочетании с вложением HTML содержат ссылки на различные сторонние ресурсы, используемые для отображения поддельной электронной таблицы Excel, в которой указано, что время сессии пользователя истекло. Ему предлагается ввести пароль еще раз.

Активное HTML-вложение, отображающее фишинговую форму входа в Office 365.
Если пользователь введет свой пароль, то скрипт отправляет эти данные на удаленный сайт, где злоумышленники собирают учетные данные сотрудников различных компаний для выполнения следующих этапов сетевой атаки.
Эксперты Bleeping Computer уточнили, что данная фишинговая кампания является узконаправленной. При ее активации создаются веб-формы с логотипами различных компаний, чтобы убедить пользователей в безопасности и заставить из действовать по сценарию злоумышленников. Примечательно, что если логотип компании недоступен, то в атаке используется логотип Office 365.
Издание Bleeping Computer уточнило, что как минимум одиннадцать компаний подверглись этой фишинговой атаке, включая SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti и Capital Four.
Специалисты Bleeping Computer напомнили, что с каждым днем ​​фишинговые атаки становятся все более изощренными, поскольку системы безопасности почтовых шлюзов лучше обнаруживают вредоносные электронные письма и фишинговые вложения. В связи с этим каждый пользователь должен обращать пристальное внимание на URL-адреса и имена вложений перед их открытием или отправкой какой-либо информации. Если что-то выглядит подозрительно, то сотрудники компаний должны сообщать ИБ-службе или сетевым администраторам об инциденте.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_javascript, #_istorija_it (История IT), #_soft (Софт), #_itkompanii (IT-компании), #_morze (Морзе), #_fishing (Фишинг), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
, #_javascript, #_istorija_it (
История IT
)
, #_soft (
Софт
)
, #_itkompanii (
IT-компании
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 17:55
Часовой пояс: UTC + 5