駭客在網路釣魚攻擊中發現使用摩爾斯電碼來逃避檢測

Myasiacloud 2021-8-20 13:53:20 發表於 國際新聞 [顯示全部樓層] 回覆獎勵 閱讀模式 0 1608


微軟披露了一項為期一年的社會工程活動的詳細資訊,其中運營商平均每 37 天不斷更改其混淆和加密機制,包括依賴摩爾斯電碼,以試圖掩蓋他們的蹤跡並秘密獲取用戶憑據。

網路釣魚攻擊採用以發票為主題的誘餌形式,模仿與金融相關的商業交易,電子郵件中包含一個 HTML 檔(“XLS.HTML”)。最終目標是獲取用戶名和密碼,隨後將其用作以後滲透嘗試的初始入口點。

微軟將附件比作一個“拼圖遊戲”,並指出 HTML 檔的各個部分被設計為看起來無害並且可以繞過端點安全軟體,只有當這些部分被解碼和組裝在一起時才會顯示其真實面目。該公司沒有確定行動背後的駭客。

Microsoft 365 Defender 威脅情報團隊在分析中表示:“這種網路釣魚活動體現了現代電子郵件威脅:複雜、隱蔽且不斷發展。” “HTML 附件分為幾個部分,包括用於竊取密碼的 JavaScript 檔,然後使用各種機制對其進行編碼。這些攻擊者從使用純文字 HTML 代碼轉向使用多種編碼技術,包括舊的和不尋常的加密方法,如摩爾斯電碼, 隱藏這些攻擊片段。

打開附件會啟動一個流覽器視窗,該視窗會在模糊的 Excel 文檔頂部顯示一個虛假的 Microsoft Office 365 憑據對話方塊。該對話方塊顯示一條消息,敦促收件人重新登錄,原因是他們對 Excel 文檔的訪問據稱已超時。如果使用者輸入密碼,則會提醒個人輸入的密碼不正確,而惡意軟體會在後臺悄悄收集資訊。

據說該活動自 2020 年 7 月被發現以來已經經歷了 10 次反覆運算,攻擊者定期切換其編碼方法以掩蓋 HTML 附件的惡意性質和檔中包含的不同攻擊片段。

微軟表示,它在 2021 年 2 月和 5 月的攻擊浪潮中檢測到摩爾斯電碼的使用,而後來發現網路釣魚工具包的變體將受害者定向到合法的 Office 365 頁面,而不是在輸入密碼後顯示虛假錯誤消息.

研究人員表示:“基於電子郵件的攻擊不斷嘗試繞過電子郵件安全解決方案。” “就這次網路釣魚活動而言,這些嘗試包括對已知的現有檔案類型(例如 JavaScript)使用多層混淆和加密機制。HTML 中的多層混淆同樣可以規避流覽器安全解決方案。

暫無任何回文,期待你打破沉寂

你需要登入後才可以回覆 登入 | 註冊會員

本版積分規則