在一个广泛的报告有关网络钓鱼活动的报告,Microsoft 365 Defender威胁情报团队描述了一系列由Phishers部署的编码技术。其中一个是莫尔斯代码。
虽然莫尔斯代码看起来像古代通信技术,但它确实在现代世界中有一些实用的用途。我们只是没有意识到网络钓鱼运动是其中之一!
让我们来看看竞选活动,然后我们将进入旧技术的新颖使用。
竞选活动
Microsoft报告此网络钓鱼活动至少一年内已持续。它被称为xls.html网络钓鱼活动,因为它使用HTML文件电子邮件附件该名称,尽管名称和文件扩展名在这样的变化中被修改:
- xls.html.
- xslx.html.
- xls.html.
- .xls.html.
- xls.html.
- xls.html.
- xls.htm.
- xsl_x.h_t_m_l.
- .xls.html.
- ._xslx.html.
- ._xsl_x.html.
phishers正在使用文件名中的xls的变体,希望接收者将期望Excel文件,如果它们打开附件。当它们打开文件时,假Microsoft Office密码对话框会提示收件人重新输入密码,因为他们对Excel文档的访问据说已经超时。此对话框放置在模糊的背景上,该背景将显示“预期”内容的部分。
附件中的脚本获取目标用户组织的徽标并显示其用户名,因此所有受害者必须执行所有受害者的密码。然后将被发送到攻击者的网络钓鱼套件在后台运行。
尝试登录受害者后,将看到一个错误的页面,并提示您再次尝试。
很容易从关于电子邮件地址和公司徽标使用的phishers使用的目标信息中,这些网络钓鱼邮件是目标广告系列的一部分,需要一些准备达到这一步骤。
这个网络钓鱼活动是收集更多关于受害者的更多数据的另一步。在最新的广告系列中,phishers获取用户的IP地址和国家/地区数据,并将该数据发送到命令和控制(C2)服务器以及用户名和密码。
编码
使用不同类型的编码以及编码的组合,已经看到网络钓鱼活动。例如,在其中一个波中,用户邮件ID在Base64中编码。同时,在eScape中再次编码之前,在编码之前,在ASCII中编码了与JavaScript文件的链接。
在广告系列中看到的编码包括:
- ASCII.是电子通信的基本字符编码标准。ASCII代码代表计算机,电信设备和其他设备中的文本。
- Base64.,一组二进制到文本编码方案,代表ASCII字符串格式的二进制数据。仅使用ASCII字符,通常是BASE64字符串URL.-Safe,并允许二进制数据包含在URL中。
- 逃避或URL编码,最初旨在将特殊字符转化为某种不同但等效的形式,这些形式在目标解释器中不再危险。
- 摩尔斯特码,更多关于以下。
不是那个编码不同于加密。编码将数据从一种格式转换为另一个格式,没有期望安全或保密。加密以某种方式转换数据,这些方式仅由具有特定知识的某人逆转,例如密码或密钥。
所以,编码方法不会隐藏安全研究员的任何内容,所以为什么要烦恼?更改围绕编码方法旨在使垃圾邮件过滤器更难以在早期版本的广告系列中培训,以发现更高版本。
摩尔斯特码
摩尔斯码是由美国发明者塞缪尔莫尔斯,于1830年代后期开发的通信系统。代码使用短脉冲的组合和长脉冲,其可以由对应于字母表字母的点和破折号表示。
着名的,“SOS”的莫尔斯代码是。。。- - - 。。。
, 例如。
国际莫尔斯电码编码了英文字母的26个字母,因此Phishers必须提出他们自己的编码。莫尔斯代码也不包括特殊字符,也不能用于区分大写和小写,这使得比其他类型的编码更难以使用。
因此,从技术上讲,他们没有使用摩尔斯电码,而是使用短圈和点来表示来自摩尔斯码的一些基本元素来表示字符的编码系统。
这就是摩尔斯电码解码的JavaScript部分的样子。
在一浪中,使用ASCII编码与JavaScript文件的链接,然后使用摩库代码进行编码。在其他情况下,在使用摩尔斯代码编码整个HTML代码之前,在逃生之前编码了网络钓鱼套件URL的域名。
附录
在我们对本文的研究期间,我们也遇到了使用PDF.html文件名和与XLS.html扩展名的主题的类似变体的文件。这些HTML文件会产生相同的提示,以登录Outlook,因为登录超时。
这些样本使用该格式命名:{公司} -Payroll- {日期} -pdf.html
有关网络钓鱼以及如何保护自己和您公司的更多信息,请查看我们的关于网络钓鱼的页面。有关网络钓鱼活动的完整描述,请看看微软博客。
...... - .-.- / ......- .-。。-..- /。... - 。.-。- - - - - 。。- - .-
评论