新的网络钓鱼攻击使用莫尔斯电码隐藏恶意URL
文:劳伦斯·艾布拉姆斯(Lawrence Abrams)
一种新的针对性网络钓鱼活动包括使用莫尔斯电码在电子邮件附件中隐藏恶意URL的新型混淆技术。
塞缪尔·莫尔斯(Samuel Morse)和阿尔弗雷德·维尔(Alfred Vail)发明了莫尔斯电码,作为通过电报线传输消息的一种方式。使用莫尔斯电码时,每个字母和数字被编码为一系列点(短音)和破折号(长音)。
从上周开始,威胁参与者开始使用摩尔斯电码以网络钓鱼形式隐藏恶意URL,从而绕过安全的邮件网关和邮件过滤器。
BleepingComputer无法找到对过去在网络钓鱼攻击中使用的摩尔斯电码的引用,这使其成为一种新颖的混淆技术
新型莫尔斯电码网络钓鱼攻击
从Reddit上的帖子中首次了解到这种攻击后,BleepingComputer自2021年2月2日以来能够找到上传到VirusTotal的目标攻击的大量样本。
网络钓鱼攻击始于冒充该公司发票的电子邮件,邮件主题为“ Revenue_payment_invoice February_Wednesday 02/03/2021”。
该电子邮件包含一个HTML附件,其命名方式似乎是该公司的Excel发票。这些附件的格式为“ [company_name] _invoice_ [number] ._ xlsx.hTML”。
例如,如果以BleepingComputer为目标,附件将被命名为“ bleepingcomputer_invoice_1308._xlsx.hTML”。
在文本编辑器中查看附件时,您会看到它们包含将字母和数字映射到摩尔斯电码的JavaScript。例如,如下所示,字母“ a”被映射为“ .-”,字母“ b”被映射为“ -...”。
源代码HTML网络钓鱼附件
然后,脚本将调用defineMorse()函数将摩尔斯电码字符串解码为十六进制字符串。将此十六进制字符串进一步解码为注入HTML页面的JavaScript标签。
解码的JavaScript标签
这些注入的脚本与HTML附件相结合,包含呈现伪造的Excel电子表格所必需的各种资源,该电子表格指出其登录超时并提示他们再次输入密码。
显示网络钓鱼登录表单的HTML附件
用户输入密码后,该表单会将密码提交到远程站点,攻击者可在该站点上收集登录凭据。
BleepingComputer已经发现有11家公司受到此网络钓鱼攻击的攻击,其中包括SGS,Dimensional,瑞士万通,SBI(毛里求斯)有限公司,NUOVO IMAIE,普利司通,Cargeas,ODDO BHF资产管理,Dea Capital,Equinti和Capital Four。
随着邮件网关更好地检测恶意电子邮件,网络钓鱼诈骗每天都变得越来越复杂。
因此,在提交任何信息之前,每个人都必须密切注意URL和附件名称。如果看起来有些可疑,则收件人应联系其网络管理员以进行进一步调查。
由于此网络钓鱼电子邮件使用具有双扩展名(xlxs和HTML)的附件,因此请务必启用Windows文件扩展名,以使其更容易发现可疑附件,这一点很重要。
source: https://www.bleepingcomputer.com/news/security/new-phishing-attack-uses-morse-code-to-hide-malicious-urls/
领取专属 10元无门槛券
私享最新 技术干货