En ny nätfiskekampanj upptäcktes i det vilda, där hotaktörerna hittas använda morsekod för att dölja sina skadliga webbadresser. Detta råkade vara inriktat på kampanjen, eftersom de skickar nätfiske-e-post för att samla in office 365-uppgifter för anställda i företagen. Exempel på attacken laddas upp till VirusTotal.
Nätfiskekampanj med morsekod
Eftersom e-postfiltreringsmotorerna och de anställda blir bättre på att upptäcka allmänna nätfiskemail, utvecklar hotaktörer nya metoder för att hitta in och stjäla data. En sådan ny teknik hittades nyligen, där angriparna använder Mer kod för att dölja sina skript.
Som detaljerad av BleepingComputervar kampanjen rapporterades först på Reddit och lade upp några av proverna till VirusTotal förra veckan. För att förklara kampanjen börjar den med ett e-postmeddelande med ämnet “
När du öppnar e-postmeddelandet visas ett bifogat Excel-dokument med titeln “” Företagsnamnet och numret kommer att ersättas med målets för att göra det mer specifikt och relaterbart. Att öppna bilagan i en textredigerare visar att JavaScript-kod skrivs i morsekod.
Som Morsekod definierar alfabeten och siffrorna med bara punkter och streck, det gör det svårt och osäkert för e-postfiltreringsmotorerna att upptäcka de skadliga länkarna i den. Här skrivs koden i olika symboler som ‘a‘ är mappad till ‘.-‘ och ‘b‘ är mappad till ‘-…‘, etc.
Läs också – Bästa morsekodappar för Android
En decodeMorse()-funktion ställdes in för att avkoda strängen, för att slutligen packa upp i JavaScript-taggar och injicera dem i HTML-sidan. Dessa kombinerade kommer att utgöra en falsk Excel-sida som ber användaren (mål) att logga in innan visning. Om du anger inloggningsuppgifterna utan att inse det som en falsk sida kommer de att exporteras till hackarens C2.
Hittills har BleepingComputer sett sju företag som riktats till denna kampanj, nämligen SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti, och Stora fyra.