Hakerët përdorin kodin mors në kode dashakeqe për t’u mos u zbuluar

foto

Microsoft ka zbuluar detaje të një fushate evazive inxhinierike shoqërore njëvjeçare ku operatorët vazhdonin të ndryshonin mekanizmat e tyre të errësimit dhe kriptimit mesatarisht çdo 37 ditë, duke përfshirë mbështetjen në kodin Morse, në një përpjekje për të mbuluar gjurmët e tyre dhe për të korrur në mënyrë të fshehtë kredencialet e përdoruesit.

Sulmet e phishing marrin formën e joshjeve me temë fature që imitojnë transaksionet e biznesit të lidhura me financat, me email-et që përmbajnë një skedar HTML (“XLS.HTML”). Objektivi përfundimtar është mbledhja e emrave të përdoruesve dhe fjalëkalimeve, të cilat më pas përdoren si një pikë fillestare hyrëse për përpjekjet e mëvonshme të infiltrimit.

Microsoft e krahasoi bashkëngjitjen me një “bashkim pjesësh figure”, duke vënë në dukje se pjesët individuale të skedarit HTML janë krijuar për t’u dukur të padëmshëm dhe të kalojnë softuerin e sigurisë të pikës së fundit, vetëm për të zbuluar ngjyrat e tij të vërteta kur këto segmente të dekodohen dhe montohen së bashku. Kompania nuk identifikoi hakerët që fshiheshin pas operacionit.

“Kjo fushatë phishing ilustron kërcënimin modern të postës elektronike: të sofistikuar, evazivë dhe në zhvillim të pamëshirshëm,” tha Ekipi i Inteligjencës Microsoft 365 Defender Threat Intercence. “Shtojca HTML është e ndarë në disa segmente, duke përfshirë skedarët JavaScript të përdorur për të vjedhur fjalëkalimet, të cilat më pas kodohen duke përdorur mekanizma të ndryshëm. Këta sulmues kaluan nga përdorimi i kodit HTML të tekstit të thjeshtë në përdorimin e teknikave të shumta të kodimit, përfshirë metodat e vjetra dhe të pazakonta të kriptimit si kodi Morse , për të fshehur këto segmente sulmi

Hapja e bashkëngjitjes hap një dritare të shfletuesit që shfaq një kuti dialogu të kredencialeve të rreme të Microsoft Office 365 në krye të një dokumenti të paqartë Excel. Kutia e dialogut tregon një mesazh që nxit marrësit të regjistrohen përsëri për arsye se qasja e tyre në dokumentin Excel supozohet se ka skaduar. Në rast se përdoruesi fut fjalëkalimin, individi paralajmërohet se fjalëkalimi i shtypur është i pasaktë, ndërsa malware -i vjedh fshehurazi informacionin në sfond.

Fushata thuhet se ka pësuar 10 përsëritje që nga zbulimi i saj në korrik 2020, me kundërshtarin që ndërron periodikisht metodat e tij të kodimit për të maskuar natyrën dashakeqe të bashkëngjitjes HTML dhe segmentet e ndryshme të sulmit që përmbahen brenda skedarit.

Microsoft tha se zbuloi përdorimin e kodit Morse në sulmet e shkurtit dhe majit 2021, ndërsa variantet e mëvonshme të kitit të phishing u zbuluan që i drejtonin viktimat në një faqe të ligjshme të Office 365 në vend që të shfaqnin një mesazh gabimi të rremë pasi të futeshin fjalëkalimet Me

“Sulmet e bazuara në email vazhdojnë të bëjnë përpjekje të reja për të anashkaluar zgjidhjet e sigurisë së postës elektronike,” thanë studiuesit. “Në rastin e kësaj fushate phishing, këto përpjekje përfshijnë përdorimin e mekanizmave të errësimit dhe kriptimit me shumë shtresa për llojet e njohura të skedarëve, siç është JavaScript. Mbulimi me shumë shtresa në HTML gjithashtu mund t’iu shmanget zgjidhjeve të sigurisë së shfletuesit.