Phishing: dit zijn de trucs die criminelen gebruiken om u malware-e-mailbijlagen te laten openen. Nu bekijken
Microsoft heeft de innerlijke werking van de technieken van een phishing-aanvalsgroep onthuld die een 'puzzeltechniek' gebruiken plus ongebruikelijke functies zoals morsecodestreepjes en stippen om zijn aanvallen te verbergen.
De groep gebruikt facturen in Excel HTML of webdocumenten om formulieren te verspreiden die referenties vastleggen voor latere hackpogingen. De techniek is opmerkelijk omdat het traditionele e-mailfiltersystemen omzeilt.
“De HTML-bijlage is verdeeld in verschillende segmenten, waaronder de JavaScript-bestanden die worden gebruikt om wachtwoorden te stelen, die vervolgens worden gecodeerd met behulp van verschillende mechanismen. Deze aanvallers zijn overgestapt van het gebruik van HTML-code in platte tekst naar het gebruik van meerdere coderingstechnieken, waaronder oude en ongebruikelijke coderingsmethoden zoals morsecode , om deze aanvalssegmenten te verbergen”, zegt Microsoft Security Intelligence.
“In feite is de bijlage vergelijkbaar met een legpuzzel: op zichzelf kunnen de afzonderlijke segmenten van het HMTL-bestand op codeniveau onschadelijk lijken en kunnen ze dus voorbij conventionele beveiligingsoplossingen glippen. Alleen wanneer deze segmenten worden samengevoegd en correct gedecodeerd, blijkt uit de kwade bedoelingen”, staat er.
ZIE: Deze nieuwe phishing-aanval is 'sneaker dan normaal', waarschuwt Microsoft
Het belangrijkste doel van de aanval is het verkrijgen van gebruikersnamen en wachtwoorden, maar het is ook het verzamelen van winstgegevens zoals IP-adres en locatie te gebruiken voor volgende pogingen tot inbreuk. “Deze phishing-campagne is uniek in de lengte die aanvallers nemen om het HTML-bestand te coderen om beveiligingscontroles te omzeilen”, aldus Microsoft.
De aanvallen vallen binnen de categorie van zakelijke e-mailcompromissen: een zeer winstgevende zwendel die groter is dan de ransomware cybercrime-industrie.
“De XLS.HTML phishing-campagne maakt gebruik van social engineering om e-mails te maken die reguliere financiële zakelijke transacties nabootsen, met name het verzenden van wat lijkt op betalingsadvies van leveranciers. In sommige e-mails gebruiken aanvallers tekens met accenten in de onderwerpregel”, zegt Microsoft.
Excel en het financiële onderwerp is de haak die bedoeld is om slachtoffers aan te moedigen om geloofsbrieven te overhandigen.
“Het gebruik van xls in de naam van het bijlagebestand is bedoeld om gebruikers te vragen een Excel-bestand te verwachten. Wanneer de bijlage wordt geopend, wordt een browservenster geopend en wordt een nep-dialoogvenster voor Microsoft Office 365-inloggegevens weergegeven bovenop een wazig Excel-document. het dialoogvenster kan informatie over de doelen weergeven, zoals hun e-mailadres en, in sommige gevallen, hun bedrijfslogo.”
ZIE: Malwareontwikkelaars gaan naar ' exotische programmeertalen om onderzoekers te dwarsbomen
Het morsecode-element van de aanval wordt gebruikt in combinatie met JavaScript, de meest populaire programmeertaal voor webontwikkeling.
“Morsecode is een oude en ongebruikelijke coderingsmethode die streepjes en punten gebruikt om tekens weer te geven. Dit mechanisme werd waargenomen in februari (“Organisatierapport/factuur”) en mei 2021 (“Payroll”) golven”, merkt Microsoft op.
“In de februari-iteratie werden links naar de JavaScript-bestanden gecodeerd met ASCII en vervolgens in morsecode. Ondertussen werd in mei de domeinnaam van de phishingkit-URL gecodeerd in Escape voordat de volledige HTML-code werd gecodeerd met morsecode.” Het gebruik van morsecode bij phishing-aanvallen werd in februari opgemerkt door Lawrence Abrams van Bleeping Computer.
Beveiliging
Kaseya ransomware-aanval: wat u moet weten Surfshark VPN-beoordeling: het is goedkoop , maar is het goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
Beveiliging TV-gegevensbeheer CXO-datacenters 