新的网络钓鱼攻击使用摩尔斯电码隐藏恶意URL

摩尔斯电码

一种新的针对性网络钓鱼活动包括使用莫尔斯电码隐藏电子邮件附件中的恶意URL的新型混淆技术。

塞缪尔·莫尔斯(Samuel Morse)和阿尔弗雷德·维尔(Alfred Vail)发明了莫尔斯电码,作为通过电报线传输消息的一种方式。使用摩尔斯电码时,每个字母和数字都编码为一系列点(短音)和破折号(长音)。

从上周开始,威胁参与者开始使用摩尔斯电码以网络钓鱼形式隐藏恶意URL,从而绕过安全的邮件网关和邮件过滤器。

BleepingComputer无法找到对过去在网络钓鱼攻击中使用的摩尔斯电码的任何引用,这使其成为一种新颖的混淆技术

新型摩尔斯电码网络钓鱼攻击

从Reddit上的帖子中首次了解到这种攻击后,BleepingComputer能够找到自2021年2月2日以来上传到VirusTotal的大量目标攻击样本。

网络钓鱼攻击始于冒充该公司发票的电子邮件,邮件主题为“ Revenue_payment_invoice February_Wednesday 02/03/2021”。

网络钓鱼电子邮件
网络钓鱼电子邮件

该电子邮件包含一个HTML附件,其命名方式似乎是该公司的Excel发票。这些附件的格式为“ [company_name] _invoice_ [number] ._ xlsx.hTML”。

例如,如果以BleepingComputer为目标,附件将被命名为“ bleepingcomputer_invoice_1308._xlsx.hTML”。

在文本编辑器中查看附件时,您会看到它们包含将字母和数字映射到摩尔斯电码的JavaScript。例如,字母“ a ”映射为“ .- ”,字母“ b ”映射为“ -… ”,如下所示。

源代码HTML网络钓鱼附件
源代码HTML网络钓鱼附件

然后,脚本将调用defineMorse()函数将摩尔斯电码字符串解码为十六进制字符串。将此十六进制字符串进一步解码为注入HTML页面的JavaScript标签。

解码的JavaScript标签
解码的JavaScript标签

这些注入的脚本与HTML附件相结合,包含呈现伪造的Excel电子表格所必需的各种资源,该电子表格指出其登录超时并提示他们再次输入密码。

显示网络钓鱼登录表单的HTML附件
显示网络钓鱼登录表单的HTML附件

用户输入密码后,该表单会将密码提交到远程站点,攻击者可在该站点上收集登录凭据。

此活动具有高度针对性,威胁参与者使用logo.clearbit.comservice在登录表单中插入收件人公司的徽标,以使其更具说服力。如果徽标不可用,它将使用通用Office 365徽标,如上图所示。

BleepingComputer已经发现有11家公司受到此网络钓鱼攻击的攻击,其中包括SGS,Dimensional,瑞士万通,SBI(毛里求斯)有限公司,NUOVO IMAIE,普利司通,Cargeas,ODDO BHF资产管理,Dea Capital,Equinti和Capital Four。

随着邮件网关更好地检测恶意电子邮件,网络钓鱼诈骗每天都变得越来越复杂。 

因此,在提交任何信息之前,每个人都必须密切注意URL和附件名称。如果看起来有些可疑,则收件人应联系其网络管理员以进行进一步调查。

由于此网络钓鱼电子邮件使用具有双扩展名(xlxs和HTML)的附件,因此请务必启用Windows文件扩展名,以使其更容易发现可疑附件,这一点很重要。

*编译:Domino

*来自:bleepingcomputer

标签: