-
09/04/2020
-
93
-
600 bài viết
Tin tặc dùng mã Morse trong các cuộc tấn công phishing để tránh bị phát hiện
Microsoft đã tiết lộ chi tiết về một chiến dịch social mà trong đó các hacker liên tục thay đổi cơ chế mã hóa và xáo trộn (trung bình 37 ngày một lần) để che giấu dấu vết và lén lút thu thập thông tin đăng nhập của người dùng, bao gồm cả việc sử dụng mã Morse.
Các cuộc tấn công phishing được thực hiện với các email chứa tệp HTML ("XLS.HTML") giả mạo biên lai giống các giao dịch kinh doanh liên quan đến tài chính. Mục tiêu cuối cùng là thu thập tên người dùng và mật khẩu, sau đó được sử dụng làm bàn đạp cho các nỗ lực xâm nhập sau này.
Microsoft ví phần đính kèm này giống như một "trò chơi ghép hình", các phần riêng lẻ của tệp HTML được thiết kế để trông có vẻ vô hại và lọt qua phần mềm bảo mật, chỉ để lộ bản chất thực khi được giải mã và lắp ráp lại với nhau. Công ty không xác định được các tin tặc đứng sau hoạt động này.
"Chiến dịch lừa đảo này là minh chứng cho mối đe dọa email hiện đại: tinh vi, lén lút và phát triển không ngừng", Microsoft 365 Defender Threat Intelligence Team cho biết trong một phân tích. "Tệp đính kèm HTML được chia thành nhiều phân đoạn, bao gồm các tệp JavaScript được sử dụng để đánh cắp mật khẩu, sau đó được mã hóa bằng nhiều cơ chế khác nhau. Những kẻ tấn công đã chuyển từ sử dụng mã HTML văn bản rõ sang sử dụng nhiều kỹ thuật mã hóa, bao gồm các phương pháp mã hóa cũ và bất thường như mã Morse, để che giấu các phân đoạn tấn công này.
Khi mở tệp đính kèm, một cửa sổ trình duyệt sẽ được khởi chạy. Người dùng được yêu cầu đăng nhập lại vì quyền truy cập của họ vào tài liệu Excel đã hết thời gian. Trong trường hợp người dùng nhập mật khẩu, họ sẽ được cảnh báo rằng mật khẩu đã nhập là không chính xác, trong khi phần mềm độc hại lén lút thu thập thông tin.
Chiến dịch được cho là đã được lặp lại 10 lần kể từ khi được phát hiện vào tháng 7 năm 2020. Trong đó, kẻ tấn công chuyển đổi định kỳ các phương pháp mã hóa để che giấu bản chất độc hại của tệp đính kèm HTML và các phân đoạn tấn công khác nhau có trong tệp.
Microsoft cho biết hãng đã phát hiện việc sử dụng mã Morse trong các đợt tấn công vào tháng 2 và tháng 5 năm 2021, trong khi các biến thể sau đó của bộ kit phishing có nhiệm vụ hướng nạn nhân đến trang Office 365 hợp pháp thay vì hiển thị thông báo lỗi giả sau khi nhập mật khẩu.
Các nhà nghiên cứu cho biết thêm: “Các cuộc tấn công bằng email tiếp tục tạo ra những nỗ lực mới để vượt qua các giải pháp bảo mật email.” Trong trường hợp trên, những nỗ lực này bao gồm việc sử dụng cơ chế mã hóa và mã hóa nhiều lớp cho các loại tệp hiện có đã biết, chẳng hạn như JavaScript. Việc xáo trộn nhiều lớp trong HTML cũng có thể trốn tránh các giải pháp bảo mật của trình duyệt.
Các cuộc tấn công phishing được thực hiện với các email chứa tệp HTML ("XLS.HTML") giả mạo biên lai giống các giao dịch kinh doanh liên quan đến tài chính. Mục tiêu cuối cùng là thu thập tên người dùng và mật khẩu, sau đó được sử dụng làm bàn đạp cho các nỗ lực xâm nhập sau này.
Microsoft ví phần đính kèm này giống như một "trò chơi ghép hình", các phần riêng lẻ của tệp HTML được thiết kế để trông có vẻ vô hại và lọt qua phần mềm bảo mật, chỉ để lộ bản chất thực khi được giải mã và lắp ráp lại với nhau. Công ty không xác định được các tin tặc đứng sau hoạt động này.
"Chiến dịch lừa đảo này là minh chứng cho mối đe dọa email hiện đại: tinh vi, lén lút và phát triển không ngừng", Microsoft 365 Defender Threat Intelligence Team cho biết trong một phân tích. "Tệp đính kèm HTML được chia thành nhiều phân đoạn, bao gồm các tệp JavaScript được sử dụng để đánh cắp mật khẩu, sau đó được mã hóa bằng nhiều cơ chế khác nhau. Những kẻ tấn công đã chuyển từ sử dụng mã HTML văn bản rõ sang sử dụng nhiều kỹ thuật mã hóa, bao gồm các phương pháp mã hóa cũ và bất thường như mã Morse, để che giấu các phân đoạn tấn công này.
Khi mở tệp đính kèm, một cửa sổ trình duyệt sẽ được khởi chạy. Người dùng được yêu cầu đăng nhập lại vì quyền truy cập của họ vào tài liệu Excel đã hết thời gian. Trong trường hợp người dùng nhập mật khẩu, họ sẽ được cảnh báo rằng mật khẩu đã nhập là không chính xác, trong khi phần mềm độc hại lén lút thu thập thông tin.
Chiến dịch được cho là đã được lặp lại 10 lần kể từ khi được phát hiện vào tháng 7 năm 2020. Trong đó, kẻ tấn công chuyển đổi định kỳ các phương pháp mã hóa để che giấu bản chất độc hại của tệp đính kèm HTML và các phân đoạn tấn công khác nhau có trong tệp.
Microsoft cho biết hãng đã phát hiện việc sử dụng mã Morse trong các đợt tấn công vào tháng 2 và tháng 5 năm 2021, trong khi các biến thể sau đó của bộ kit phishing có nhiệm vụ hướng nạn nhân đến trang Office 365 hợp pháp thay vì hiển thị thông báo lỗi giả sau khi nhập mật khẩu.
Các nhà nghiên cứu cho biết thêm: “Các cuộc tấn công bằng email tiếp tục tạo ra những nỗ lực mới để vượt qua các giải pháp bảo mật email.” Trong trường hợp trên, những nỗ lực này bao gồm việc sử dụng cơ chế mã hóa và mã hóa nhiều lớp cho các loại tệp hiện có đã biết, chẳng hạn như JavaScript. Việc xáo trộn nhiều lớp trong HTML cũng có thể trốn tránh các giải pháp bảo mật của trình duyệt.
Nguồn: Thehackernews