Microsoft ha rilasciato nuovi dettagli su una campagna di phishing che utilizzava tattiche scalabili, incluso l'uso del codice Morse per eludere il rilevamento. Durante l'indagine durata un anno da parte dei ricercatori di Microsoft Security Intelligence, i criminali informatici dietro la campagna hanno modificato i meccanismi di offuscamento e crittografia in media ogni 37 giorni per evitare che il loro funzionamento fallisse. La campagna stessa ha utilizzato un allegato XLS.HTML a tema fattura suddiviso in diversi segmenti, inclusi file JavaScript utilizzati per rubare password che vengono poi criptate utilizzando vari meccanismi. Durante le indagini di Microsoft, gli aggressori sono passati dall'utilizzo di codice HTML in chiaro all'utilizzo di varie tecniche di crittografia, inclusi metodi di crittografia meno recenti e insoliti, come il codice Morse, per nascondere queste tecniche di crittografia, segmenti di attacco, secondo un nuovo post sul blog. Per evitare un ulteriore rilevamento, alcuni dei segmenti di codice utilizzati nella campagna non erano nemmeno presenti nell'allegato stesso e risiedevano invece in varie directory aperte.
Avviso di pagamento falso
Questa campagna di phishing XLS.HTML utilizza l'ingegneria sociale per creare e-mail che imitano l'aspetto di transazioni commerciali legate alla finanza sotto forma di falsi avvisi di pagamento. L'obiettivo principale della campagna è raccogliere credenziali e mentre inizialmente raccoglieva nomi utente e password, nella sua versione più recente ha iniziato a raccogliere anche informazioni. punto per ulteriori tentativi di infiltrazione. Sebbene XLS venga utilizzato nell'allegato per indicare agli utenti di aspettarsi un file Excel, quando l'allegato viene aperto, apre una finestra del browser che indirizza le potenziali vittime a una pagina falsa. Accesso a Microsoft Office 365. Una finestra di dialogo nella pagina richiede agli utenti di eseguire nuovamente l'accesso perché il loro accesso al documento Excel è presumibilmente scaduto. Tuttavia, se un utente inserisce la propria password, riceverà una nota falsa che afferma che la password che ha inviato non è corretta, mentre un kit di phishing controllato da un utente malintenzionato in esecuzione in background raccoglie le sue credenziali. Ciò che distingue questa campagna è il fatto che i criminali informatici dietro di essa hanno fatto di tutto per codificare il file HTML in modo tale da aggirare i controlli di sicurezza. Come sempre, gli utenti dovrebbero evitare di aprire e-mail da mittenti sconosciuti, soprattutto quando chiedono loro di accedere a un servizio online per accedere a un file o chiedono loro di abilitare le macro.