Uma maneira muito antiga de enviar mensagens encontrou uma nova vida. Os atores da ameaça usaram o código Morse em uma nova campanha de phishing de URL detectada no início de fevereiro de 2021.
JavaScript mapeado para código Morse no ataque de spear phishing
O ataque de phishing de URL começa quando um usuário recebe um e-mail fingindo ser uma fatura. Como esse ataque é enviado como um e-mail para uma empresa específica, ele pode ser usado como phishing ou spear phishing.
O e-mail de ataque usa uma linha de assunto, como ‘Revenue_payment_invoice February_Wed Wednesday 02/03/2021,’ para dar suporte a esse disfarce. O objetivo é convencer o destinatário de que é seguro para ele abrir o anexo. Depois de fazer isso, ele é ativado na linguagem de programação da web HTML.
Os invasores criaram o nome do anexo para se parecer com uma planilha Excel personalizada para a empresa. O anexo usava o formato ‘[nome_da_empresa] _fatura_ [número] ._ xlsx.hTML.’
O arquivo de phishing de URL anexado inclui o código JavaScipt que mapeia letras e números para os pontos e traços do código Morse. Uma vez executado, o JavaScript usa uma função decodeMorse () para traduzir o código Morse em uma string hexadecimal. Em seguida, essa string deu lugar a tags JavaScript que a campanha injetou na página HTML.
Essas tags criaram a imagem de uma fatura falsa baseada no Excel e um formulário de login personalizado. Ele informou ao destinatário que ele precisava entrar em sua conta do Office 365 para visualizar o arquivo. Em caso afirmativo, o formulário de login roubou as credenciais do destinatário. Assim, ele os carregou em um site remoto onde os invasores poderiam recuperá-los.
Outras técnicas de evasão usadas por phishers
Em janeiro de 2020, o PhishLabs encontrou uma tática em que os phishers usavam um site malicioso para chamar o giroscópio e acelerômetros comumente encontrados em smartphones.
A ideia aqui é que o site possa mudar seu comportamento e atender aos usuários de dispositivos móveis caso confirme a presença de eventos de movimento e orientação do dispositivo.
Vários meses depois, a Microsoft descobriu que o grupo de ameaças CHIMBORAZO havia começado a usar sites com CAPTCHAs para evitar análises automatizadas.
Finalmente, uma operação de phishing em novembro de 2020 inverteu as imagens usadas nos planos de fundo de suas páginas de destino para permanecerem ocultas das ferramentas anti-phishing.
Entre em contato com os nossos Experts Brasiline e saiba como se defender contra ataques phishing.
Veja também:
FortiSRA: Acesso Remoto Seguro para Sistemas OT
Brasil vê ciberataques crescerem 38% no primeiro trimestre
