微軟披露了一項為期一年的社會工程活動的詳細資訊,其中運營商平均每 37 天不斷更改其混淆和加密機制,包括依賴摩爾斯電碼,以試圖掩蓋他們的蹤跡並秘密獲取用戶憑據。
網路釣魚攻擊採用以發票為主題的誘餌形式,模仿與金融相關的商業交易,電子郵件中包含一個 HTML 檔(“XLS.HTML”)。最終目標是獲取用戶名和密碼,隨後將其用作以後滲透嘗試的初始入口點。
微軟將附件比作一個“拼圖遊戲”,並指出 HTML 檔的各個部分被設計為看起來無害並且可以繞過端點安全軟體,只有當這些部分被解碼和組裝在一起時才會顯示其真實面目。該公司沒有確定行動背後的駭客。
Microsoft 365 Defender 威脅情報團隊在分析中表示:“這種網路釣魚活動體現了現代電子郵件威脅:複雜、隱蔽且不斷發展。” “HTML 附件分為幾個部分,包括用於竊取密碼的 JavaScript 檔,然後使用各種機制對其進行編碼。這些攻擊者從使用純文字 HTML 代碼轉向使用多種編碼技術,包括舊的和不尋常的加密方法,如摩爾斯電碼, 隱藏這些攻擊片段。
打開附件會啟動一個流覽器視窗,該視窗會在模糊的 Excel 文檔頂部顯示一個虛假的 Microsoft Office 365 憑據對話方塊。該對話方塊顯示一條消息,敦促收件人重新登錄,原因是他們對 Excel 文檔的訪問據稱已超時。如果使用者輸入密碼,則會提醒個人輸入的密碼不正確,而惡意軟體會在後臺悄悄收集資訊。
據說該活動自 2020 年 7 月被發現以來已經經歷了 10 次反覆運算,攻擊者定期切換其編碼方法以掩蓋 HTML 附件的惡意性質和檔中包含的不同攻擊片段。
微軟表示,它在 2021 年 2 月和 5 月的攻擊浪潮中檢測到摩爾斯電碼的使用,而後來發現網路釣魚工具包的變體將受害者定向到合法的 Office 365 頁面,而不是在輸入密碼後顯示虛假錯誤消息.
研究人員表示:“基於電子郵件的攻擊不斷嘗試繞過電子郵件安全解決方案。” “就這次網路釣魚活動而言,這些嘗試包括對已知的現有檔案類型(例如 JavaScript)使用多層混淆和加密機制。HTML 中的多層混淆同樣可以規避流覽器安全解決方案。
|