El nuevo ataque de phishing utiliza código Morse para ocultar URL maliciosas

Una nueva campaña de phishing dirigida incluye la nueva técnica de ofuscación de usar código Morse para ocultar URL maliciosas en un archivo adjunto de correo electrónico.

Samuel Morse y Alfred Vail inventaron el código morse como un medio para transmitir mensajes por el cable telegráfico. Cuando se usa el código Morse, cada letra y número se codifica como una serie de puntos (sonido corto) y guiones (sonido largo).

A partir de la semana pasada, un actor de amenazas comenzó a usar código Morse para ocultar URL maliciosas en su módulo de phishing para evitar las puertas de enlace de correo seguro y los filtros de correo.

BleepingComputer no pudo encontrar ninguna referencia al código Morse utilizado en ataques de phishing en el pasado, lo que hace que esta sea una nueva técnica de ofuscación.

Después de conocer este ataque por primera vez en una publicación en Reddit BleepingComputer pudo encontrar numerosas muestras del ataque dirigido subidas a VirusTotal desde el 2 de febrero de 2021.

El ataque de phishing comienza con un correo electrónico que pretende ser una factura de la empresa con un asunto como “Ingresos_pago_factura_febrero_miércoles miércoles 02/03/2021”.

Correos electrónicos de phishing
Correos electrónicos de phishing

Este correo electrónico incluye un archivo HTML adjunto cuyo nombre parece una factura de Excel para la empresa. Estos archivos adjuntos se nombran en el formato “[company_name]_factura_[number]._xlsx.hTML. ”

Por ejemplo, si se apuntó a BleepingComputer, el archivo adjunto se llamaría “bleepingcomputer_invoice_1308._xlsx.hTML”.

Cuando ve el archivo adjunto en un editor de texto, puede ver que incluye JavaScript que asigna letras y números al código Morse. Por ejemplo, la letra “un”está asignado a”.-‘y la letra’segundo”está asignado a”-…‘, Como se muestra abajo.

Archivo adjunto de phishing de código fuente HTML
Archivo adjunto de phishing de código fuente HTML

Luego, el script llama a una función decodeMorse () para decodificar una cadena de código Morse en una cadena hexadecimal. Esta cadena hexadecimal se descodifica en etiquetas JavaScript que se insertan en la página HTML.

Etiquetas JavaScript decodificadas
Etiquetas JavaScript decodificadas

Estos scripts inyectados combinados con el archivo adjunto HTML contienen los diversos recursos necesarios para generar una hoja de cálculo de Excel falsa que indica que su inicio de sesión ha expirado y requiere que ingresen su contraseña nuevamente.

Archivo adjunto HTML que muestra el formulario de inicio de sesión de phishing
Archivo adjunto HTML que muestra el formulario de inicio de sesión de phishing

Una vez que un usuario ingresa su contraseña, el formulario enviará la contraseña a un sitio remoto donde los atacantes pueden recopilar las credenciales de inicio de sesión.

Esta campaña está muy dirigida, y el actor de amenazas crea logotipos para varias empresas insertados en el formulario para hacerlo más atractivo. Si no hay un logotipo disponible, use el logotipo genérico de Office 365, como se muestra en la imagen de arriba.

BleepingComputer vio a once empresas afectadas por este ataque de phishing, incluidas SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti y Capital Four.

Las estafas de phishing se vuelven cada vez más complejas a medida que las puertas de enlace de correo mejoran en la detección de correos electrónicos maliciosos.

Por esta razón, todos deben prestar mucha atención a las URL y los nombres de los archivos adjuntos antes de enviar cualquier información. Si algo parece sospechoso, los destinatarios deben comunicarse con sus administradores de red para investigar más a fondo.

Dado que este correo electrónico de phishing utiliza archivos adjuntos con extensiones dobles (xlxs y HTML), es importante asegurarse de que las extensiones de archivo de Windows estén habilitadas para facilitar la detección de archivos adjuntos sospechosos.

BleepingComputer vio a once empresas afectadas por este ataque de phishing, incluidas SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti y Capital Four.

Las estafas de phishing se vuelven cada vez más complejas a medida que las puertas de enlace de correo mejoran en la detección de correos electrónicos maliciosos.

Por esta razón, todos deben prestar mucha atención a las URL y los nombres de los archivos adjuntos antes de enviar cualquier información. Si algo parece sospechoso, los destinatarios deben comunicarse con sus administradores de red para investigar más a fondo.

Dado que este correo electrónico de phishing utiliza archivos adjuntos con extensiones dobles (xlxs y HTML), es importante asegurarse de que las extensiones de archivo de Windows estén habilitadas para facilitar la detección de archivos adjuntos sospechosos. / Vía: diarioinforme.com-

Deja un comentario

nine + ten =