Microsoft a publié de nouveaux détails sur une campagne de phishing utilisant des tactiques évolutives, notamment l'utilisation du code Morse pour échapper à la détection. Au cours de l'enquête d'un an menée par les chercheurs de Microsoft Security Intelligence, les cybercriminels à l'origine de la campagne ont modifié les mécanismes d'obscurcissement et de chiffrement en moyenne tous les 37 jours pour empêcher leur opération d'échouer. La campagne elle-même a utilisé une pièce jointe XLS.HTML avec le thème de la facture divisé en plusieurs segments, y compris des fichiers JavaScript utilisés pour voler des mots de passe qui sont ensuite cryptés à l'aide de divers mécanismes. Au cours de l'enquête de Microsoft, les attaquants sont passés de l'utilisation de code HTML en texte brut à diverses techniques de cryptage, y compris des méthodes de cryptage plus anciennes et inhabituelles telles que le code Morse, pour masquer ces techniques de cryptage et attaquer des segments, selon un nouveau billet de blog. Pour éviter toute détection ultérieure, certains des segments de code utilisés dans la campagne n'étaient même pas présents dans la pièce jointe elle-même et résidaient dans plusieurs répertoires ouverts.
Avis de faux paiement
Cette campagne de phishing XLS.HTML utilise l'ingénierie sociale pour créer des e-mails qui imitent l'apparence de transactions commerciales financières sous la forme de faux avis de paiement. L'objectif principal de la campagne est de collecter des informations d'identification et, bien qu'elle ait initialement collecté des noms d'utilisateur et des mots de passe, dans sa version la plus récente, elle a également commencé à collecter des informations. point de départ pour des tentatives d'infiltration ultérieures. Bien que XLS soit utilisé dans la pièce jointe pour indiquer aux utilisateurs qu'ils doivent s'attendre à un fichier Excel, lorsque la pièce jointe est ouverte, il ouvre une fenêtre de navigateur qui dirige les victimes potentielles vers une fausse page. Connexion à Microsoft Office 365. Une boîte de dialogue sur la page demande aux utilisateurs de se reconnecter car leur accès au document Excel est censé avoir expiré. Cependant, si un utilisateur saisit son mot de passe, il recevra une fausse note indiquant que le mot de passe soumis est incorrect, tandis qu'un kit de phishing contrôlé par un attaquant s'exécutant en arrière-plan collecte ses informations d'identification. Ce qui distingue cette campagne, c'est le fait que les cybercriminels à l'origine de cette campagne se sont donné beaucoup de mal pour encoder le fichier HTML de manière à contourner les contrôles de sécurité. Comme toujours, les utilisateurs doivent éviter d'ouvrir les e-mails provenant d'expéditeurs inconnus, en particulier lorsqu'ils leur demandent de se connecter à un service en ligne pour accéder à un fichier ou lorsqu'ils leur demandent d'activer les macros.