El código Morse ayuda a los ciberdelincuentes a escapar de la detección

Microsoft ha publicado nuevos detalles sobre una campaña de phishing que utilizó tácticas escalables, incluido el uso de código Morse para evadir la detección.

Durante la investigación de un año realizada por investigadores de Microsoft Security Intelligence, los ciberdelincuentes detrás de la campaña cambiaron los mecanismos de ofuscación y encriptación en promedio cada 37 días para evitar que su operación fallara.

La campaña en sí utilizó un archivo adjunto XLS.HTML con el tema de la factura dividido en varios segmentos, incluidos los archivos JavaScript utilizados para robar contraseñas que luego se codifican mediante varios mecanismos. Durante la investigación de Microsoft, los atacantes pasaron de usar código HTML de texto plano a usar varias técnicas de codificación, incluidos métodos de encriptación más antiguos e inusuales, como el código Morse, para ocultar estas técnicas de codificación, segmentos de ataque, según una nueva publicación de blog.

Para evitar una mayor detección, algunos de los segmentos de código utilizados en la campaña ni siquiera estaban presentes en el propio archivo adjunto y, en cambio, residían en varios directorios abiertos.

Aviso de pago falso

Esta campaña de phishing XLS.HTML utiliza ingeniería social para crear correos electrónicos que imitan la apariencia de transacciones comerciales relacionadas con las finanzas en forma de consejos de pago falsos.

El objetivo principal de la campaña es recopilar credenciales y, aunque inicialmente recopiló nombres de usuario y contraseñas, en su versión más reciente también ha comenzado a recopilar información. punto para posteriores intentos de infiltración.

Aunque XLS se utiliza en el archivo adjunto para indicar a los usuarios que esperen un archivo de Excel, cuando se abre el adjunto, abre una ventana del navegador que dirige a las víctimas potenciales a una página falsa. Inicio de sesión de Microsoft Office 365. Un cuadro de diálogo en el La página solicita a los usuarios que inicien sesión nuevamente porque supuestamente su acceso al documento de Excel ha expirado. Sin embargo, si un usuario ingresa su contraseña, recibirá una nota falsa que indica que la contraseña enviada es incorrecta, mientras que un kit de phishing controlado por un atacante que se ejecuta en segundo plano recopila sus credenciales.

Lo que distingue a esta campaña es el hecho de que los ciberdelincuentes detrás de ella hicieron todo lo posible para codificar el archivo HTML de tal manera que se evitaran los controles de seguridad. Como siempre, los usuarios deben evitar abrir correos electrónicos de remitentes desconocidos, especialmente cuando les piden que inicien sesión en un servicio en línea para acceder a un archivo o les piden que habiliten macros.