В рамках новой целенаправленной фишинговой кампании хакеры применили новую тактику обфускации, заключающуюся в использовании азбуки Морзе для сокрытия вредоносных URL-адресов во вложении электронной почты и обхода почтовых шлюзов и фильтров.
Как сообщают в SecurityLab, фишинговая атака начинается с отправки электронного письма, замаскированного под счёт для компании с темой «Revenue_payment_invoice February_Wednesday 02/03/2021». Письмо содержит вложение в формате HTML с названием, которое выглядит как счёт компании в формате Excel — «[название_компании] _инвойс_ [номер] ._ xlsx.hTML».
При просмотре вложения в текстовом редакторе можно обнаружить JavaScript-код, который сопоставляет буквы и цифры с азбукой Морзе. Например, буква «a» отображается в «.-», а буква «b» отображается в «-…».
Затем скрипт вызывает функцию decodeMorse() для декодирования строки кода Морзе в шестнадцатеричную строку. Строка далее декодируется в теги JavaScript, которые вставляются в HTML-страницу.
Внедренные скрипты в сочетании с вложением HTML содержат различные ресурсы, необходимые для отображения поддельной электронной таблицы Excel, в которой указано, что время их авторизации истекло, и предлагается ввести пароль еще раз. Как только пользователь вводит свой пароль, форма отправляет данные на удаленный сайт, подконтрольный злоумышленникам.
Кампания является целенаправленной — злоумышленники используют сервис logo.clearbit.com для вставки логотипов компаний-получателей в форму авторизации, чтобы сделать её более убедительной. Если логотип недоступен, используется общий логотип Office 365.
Отметим, в начале года эксперты Роскачества предупредили о новой мошеннической схеме, связанной с аккаунтами пользователей социальной сети ВКонтакте. Злоумышленники используют архивы для похищения пароля и дальнейшего взлома профиля в соцсети.
А злоумышленники, похищающие средства со счетов россиян с помощью известной схемы «выплаты компенсаций», в этом году стали использовать вместо привычных каналов (почта, мессенджеры, СМС) возможности сервиса Google Фото.
