網路釣魚也搞起摩斯密碼,全新隱匿手法的針對性目標攻擊來襲!

作者 | 發布日期 2021 年 02 月 09 日 8:45 | 分類 網路 , 資訊安全 Telegram share ! follow us in feedly


網路上出現一種以摩斯密碼作為新型隱匿技術的全新針對性網路釣魚攻擊,會將惡意 URL 隱藏在電子郵件附件中。 

摩斯密碼是由摩斯(Samuel Morse)和 Alfred Vail 共同發明,以作為經由電報線發送消息的一種方式。在使用摩斯密碼時,每個字母和數字會被編碼成為一連串的短音(以點「.」表示,唸做「滴」)及長音(以破折號「-」表示,唸做「答」)。

從上週開始,某威脅發動者開始利用摩斯密碼將惡意 URL 隱藏在釣魚郵件中,進而規避安全郵件閘道器與郵件過濾器。由於在過去並沒有發現有將摩斯密碼應用在網路釣魚攻擊中的案例,所以這樣的攻擊手法無異是一種新型的隱匿技術。

該攻擊會顯示使用者登入逾時並要求重輸密碼的誘騙訊息

自從在 Reddit 上的貼文首次知道有這種攻擊之後,我們也找到了自 2021 年 2 月 2 日以來上傳到 VirusTotal 上的大量針對性攻擊樣本。該網路釣魚攻擊是從一封冒充某公司發票的電子郵件開始的,該郵件上標明了像是「Revenue_payment_invoice February_Wednesday 02/03/2021」的郵件主旨。

該電子郵件包含一個 HTML 附件,該附件會以這種看起來像是收件公司 Excel 發票的方式來命名。換言之,這些附件是以「[company_name] _invoice_ [number] ._ xlsx.hTML」的格式來命名。例如,如果是《科技新報》遭到鎖定的話,那麼該攻擊就會將附件命名為「TechNews_invoice_1308._xlsx.hTML」。

透過記事本檢視該附件時,你會從中看到包含將字母和數字對應成摩斯密碼的 JavaScript。例如,字母「a」被對應成「.-」,字母「b」被對應成「-…」。該描述語言接著會呼叫 defineMorse() 函數,以便將摩斯密碼字串解碼成為十六進位字串。這個十六進位字串會被進一步解碼成 JavaScript 標籤,以便植入到 HTML 頁面中。

這些與 HTML 附件相整合的植入描述語言,內含了呈現偽造 Excel 試算表所需的各種資源,該描述語言會在畫面上指出使用者登入逾時,並提示他們再次輸入密碼。一旦使用者輸入密碼,該表單會將密碼提交到遠端網站上,惡意攻擊者可從中收集登錄憑證。這個惡意活動極具針對性,尤其是威脅發動者會使用 logo.clearbit.comservice,以便將收件人公司的商標嵌入至登錄表單中,以使其更具說服力。

目前已有 11 家公司淪為受害者

截至目前為止,已發現有 11 家公司遭到此針對性網路釣魚的攻擊,其中包括 SGS 通用驗證集團、Dimensional、瑞士美創(Metrohm)、模里西斯 SBI、NUOVO IMAIE、普利司通(Bridgestone)、義大利保險公司 Cargeas、歐洲資產管理商 ODDO BHF Asset Management、Dea Capital、Equinti 和 Capital Four。

隨著郵件閘道器愈來愈擅長偵測惡意電子郵件,致使網路釣魚詐騙也日復一日地變得更加複雜。正因為如此,每個人在提交任何資訊之前,都必須密切注意 URL 和附件的名稱。如果看起來有些可疑,那麼收件人實應聯繫網路管理員以展開進一步的調查。由於這個網路釣魚電子郵件使用具有雙副檔名(xlxs 和 HTML)的附件,因此請務必確認系統會顯示 Windows 檔案副檔名,以便能更容易地發現可疑附件。

(首圖來源:Wikipedia