Las estafas de phishing siguen evolucionando: ahora usan clave morse para esconderse

por

(Genbeta) / Microsoft ha desvelado las técnicas de unos ataques de phishing que consiguen esconderse con formas poco conocidas como guiones y puntos en código Morse y cambiando sus técnicas de ataque cada 36 días. Tras un año de investigaciones, la división Security Intelligence ha publicado características de estos ataques dirigidos que se muestran normalmente bajo la temática facturas XLS.HTML en correos electrónicos.

El objetivo principal de esta campaña es llegar a robar dinero. Pero para ello usan técnicas avanzadas y realizan un proceso largo y elaborado para que los correos que le llegan a las víctimas parezcan reales.
Este comienza por recopilar nombres de usuario, contraseñas y últimamente también la dirección IP y la ubicación. Los atacantes usan estos datos como punto de entrada inicial para posteriores intentos de infiltración. También se hacen con direcciones de correo eletrónico y logotipos de las empresas para las que sus víctimas trabajan. Con todo esto, pueden enviar mails muy sofisticados haciéndose pasar por diversas personas para atrapar a nuevas víctimas.
La campaña de phishing “XLS.HTML utiliza la ingeniería social para crear mensajes de correo electrónico que imitan transacciones comerciales comunes relacionadas con las finanzas”, explican desde la empresa. Envían lo que parece ser un aviso de pago a un proveedor y el objetivo final es conseguir dinero.

Cambios de forma periódica

Firefox Onjhbr7upu

Aunque la técnica es similar siempre, los atacantes van cambiando la terminación del nombre de los archivos que acompañan a estos correos de phishing dirigidos. En la imagen anterior se puede ver un ejemplo de cómo es el mail que un usuario recibe. El archivo adjunto es siempre HTML pero la extensión se va modificando y, hasta ahora se conocen las siguientes:

xls.HTML

xslx.HTML

Xls.html

.XLS.html

xls.htML

xls.HtMl

xls.htM

xsl_x.h_T_M_L

.xls.html

._xslx.hTML

._xsl_x.hTML

En general, el objetivo es que parezca un archivo de Excel. Si el objetivo abre el archivo adjunto, se abre una ventana del navegador con un cuadro que pide las credenciales de Microsoft Office 365 sobre un documento de Excel borroso.

Ahí se pide al usuario que vuelva a introducir su contraseña, porque supuestamente su acceso al documento de Excel ha expirado. Sin embargo, si el usuario introduce su contraseña, recibe una nota falsa de que la contraseña enviada es incorrecta. Mientras tanto, el kit de phishing controlado por el atacante que se ejecuta en segundo plano recoge la contraseña y otras informaciones importantes. Se puede ver en la siguiente imagen que Microsoft ha compartido con poca nitidez.

Firefox Yfcfyxmwko

Cómo se usa el código morse junto con Javascript

javascript

La gran novedad de este ataque de phishing en el uso del código morse para mantenerse oculto. Concretamente, el elemento de código morse del ataque se utiliza junto con JavaScript, el lenguaje de programación más popular para el desarrollo web.

Desde Microsoft recuerdan que “el código Morse es un antiguo e inusual método de codificación que utiliza guiones y puntos para representar caracteres”. Este mecanismo se ha observado en las oleadas de phishing descubiertas en febrero y que engañaban diciendo que enviaban facturas de entidades y también en mayo de este año cuando los archivos se mostraban como “nóminas”.

“En la iteración de febrero, los enlaces a los archivos JavaScript se codificaron utilizando ASCII y luego en código Morse. Mientras tanto, en mayo, el nombre de dominio de la URL del kit de phishing se codificó en Escape antes de que todo el código HTML se codificara utilizando código Morse”, concreta la firma de Redmond.

Deja un comentario

fifteen + fifteen =