网络上出现一种以摩斯密码作为新型隐匿技术的全新针对性网络钓鱼攻击,会将恶意URL隐藏在电子邮件附件中。
摩斯密码是由摩斯(Samuel Morse)和Alfred Vail共同发明,以作为经由电报线发送消息的一种方式。在使用摩斯密码时,每个字母和数字会被编码成为一连串的短音(以点“.”表示,念做“滴”)及长音(以破折号“-”表示,念做“答”) 。
从上周开始,某威胁发动者开始利用摩斯密码将恶意URL隐藏在钓鱼邮件中,进而规避安全邮件网关与邮件过滤器。由于在过去并没有发现有将摩斯密码应用在网络钓鱼攻击中的案例,所以这样的攻击手法无异是一种新型的隐匿技术。
该攻击会显示用户登录超过时并要求重输密码的诱骗消息
自从在Reddit上的贴文首次知道有这种攻击之后,我们也找到了自2021年2月2日以来上传到VirusTotal上的大量针对性攻击样本。该网络钓鱼攻击是从一封冒充某公司发票的电子邮件开始的,该邮件上标明了像是“Revenue_payment_invoice February_Wednesday 02/03/2021”的邮件主题。
该电子邮件包含一个HTML附件,该附件会以这种看起来像是收件公司Excel发票的方式来命名。换言之,这些附件是以““company_name” _invoice_ “number” ._ xlsx.hTML”的格式来命名。例如,如果是《科技新报》遭到锁定的话,那么该攻击就会将附件命名为“TechNews_invoice_1308._xlsx.hTML”。
通过记事本查看该附件时,你会从中看到包含将字母和数字对应成摩斯密码的JavaScript。例如,字母“a”被对应成“.-”,字母“b”被对应成“-…”。该描述语言接着会调用defineMorse 函数,以便将摩斯密码字符串解码成为十六进制字符串。这个十六进制字符串会被进一步解码成JavaScript标签,以便植入到HTML页面中。
这些与HTML附件相集成的植入描述语言,内置了呈现伪造Excel试算表所需的各种资源,该描述语言会在画面上指出用户登录超过时,并提示他们再次输入密码。一旦用户输入密码,该表单会将密码提交到远程网站上,恶意攻击者可从中收集登录凭证。这个恶意活动极具针对性,尤其是威胁发动者会使用logo.clearbit.comservice,以便将收件人公司的商标嵌入至登录表单中,以使其更具说服力。
目前已有11家公司沦为受害者
截至目前为止,已发现有11家公司遭到此针对性网络钓鱼的攻击,其中包括SGS通用验证集团、Dimensional、瑞士美创(Metrohm)、毛里求斯SBI、NUOVO IMAIE、普利司通(Bridgestone)、意大利保险公司Cargeas、欧洲资产管理商ODDO BHF Asset Management、Dea Capital、Equinti和Capital Four。
随着邮件网关越来越擅长侦测恶意电子邮件,致使网络钓鱼诈骗也日复一日地变得更加复杂。正因为如此,每个人在提交任何信息之前,都必须密切注意URL和附件的名称。如果看起来有些可疑,那么收件人实应联系网络管理员以展开进一步的调查。由于这个网络钓鱼电子邮件使用具有双文件扩展名(xlxs和HTML)的附件,因此请务必确认系统会显示Windows文件文件扩展名,以便能更容易地发现可疑附件。
(首图来源:Wikipedia)