El código Morse ayuda a los ciberdelincuentes a escapar de la detección
Microsoft ha publicado nuevos detalles sobre un campaña de phishing que emplearon tácticas evolutivas, incluido el uso de Morsa para escapar de la detección.
Durante la encuesta de un año realizada por investigadores de Inteligencia de seguridad de Microsoft, los ciberdelincuentes detrás de la campaña cambiaron los mecanismos de ofuscación y encriptación en promedio cada 37 días para evitar que se detecte su operación.
La campaña en sí utilizó un archivo adjunto XLS.HTML con tema de factura dividido en varios segmentos, incluido el Javascript archivos utilizados para robar contraseñas que luego se codifican utilizando varios mecanismos. Durante la investigación de Microsoft, los atacantes pasaron de usar código HTML de texto sin formato a usar varias técnicas de codificación, incluidos métodos de encriptación más antiguos e inusuales como el código Morse para ocultar estas técnicas de codificación. entrada en el blog.
Para evitar una mayor detección, algunos de los segmentos de código utilizados en la campaña ni siquiera estaban presentes en el propio archivo adjunto y, en cambio, residían en varios directorios abiertos.
Aviso de pago falso
Esta campaña de phishing XLS.HTML utiliza Ingeniería social para crear correos electrónicos que imiten la apariencia de transacciones comerciales relacionadas con las finanzas en forma de avisos de pago falsos.
El principal objetivo de la campaña es colección de credenciales y aunque originalmente estaba recolectando nombres de usuario y contraseñas, en su versión más reciente también comenzó a recolectar otra información como direcciones IP y ubicaciones que los ciberdelincuentes lo utilizan como punto de entrada inicial para intentos de infiltración posteriores.
Aunque XLS se utiliza en el archivo adjunto para indicar a los usuarios que esperen un archivo Excel, cuando se abre el adjunto, se inicia un Navegador ventana en cambio que lleva a las víctimas potenciales a una Microsoft Office 365 página de inicio de sesión. Un cuadro de diálogo en la página solicita a los usuarios que vuelvan a iniciar sesión porque supuestamente su acceso al documento de Excel ha expirado. Sin embargo, si un usuario ingresa su contraseña, recibirá una nota falsa que indica que la contraseña enviada es incorrecta, mientras que un kit de phishing controlado por un atacante que se ejecuta en segundo plano recopila sus credenciales.
Lo que distingue a esta campaña es el hecho de que los ciberdelincuentes detrás de ella hicieron todo lo posible para codificar el archivo HTML de tal manera que se evitaran los controles de seguridad. Como siempre, los usuarios deben evitar abrir correos electrónicos de remitentes desconocidos, especialmente cuando les piden que inicien sesión en un servicio en línea para acceder a un archivo o les piden que habiliten macros.
«Jugador orgulloso. Gurú del café. Alcoholico galardonado. Entusiasta de la cerveza. Estudiante. Aficionado a los zombis. Lector. Especialista en música. Aficionado a la comida».
