Ces attaques de phishing sont passées à l’ancienne, ont utilisé le code Morse pour contourner la sécurité –
Les attaques de phishing sont en constante évolution et deviennent de plus en plus sophistiquées. La dernière, qui ciblait les noms d’utilisateur et les mots de passe, a choisi de passer à l’ancienne et utiliser le code morse pour éviter les systèmes de filtrage des e-mails et autres mesures de sécurité.
Microsoft a récemment révélé l’attaque de phishing, qui, selon lui, utilisait une technique de « puzzle » en plus de mesures telles que le code Morse et d’autres méthodes de cryptage pour masquer ses attaques et éviter la détection. Le groupe d’attaquants a utilisé des factures dans Excel HTML ou des documents Web comme moyen de distribuer des formulaires contenant des informations d’identification pour de futures tentatives de violation.
Dans un article de blog récent, Microsoft Security Intelligence a déclaré : « La pièce jointe HTML est divisée en plusieurs segments, y compris les fichiers JavaScript utilisés pour voler les mots de passe, qui sont ensuite encodés à l’aide de divers mécanismes. Ces attaquants sont passés de l’utilisation de code HTML en clair à l’utilisation de plusieurs techniques de codage, y compris des méthodes de cryptage anciennes et inhabituelles telles que le code Morse, pour masquer ces segments d’attaque.
« En effet, la pièce jointe est comparable à un puzzle : à eux seuls, les segments individuels du fichier HTML peuvent sembler inoffensifs au niveau du code et peuvent ainsi échapper aux solutions de sécurité conventionnelles. Ce n’est que lorsque ces segments sont assemblés et correctement décodés que l’intention malveillante apparaît », a ajouté le billet de blog.
![Un dangereux hacker cagoulé s'introduit dans le serveur de données](https://www.tremplin-numerique.org/wp-content/uploads/2021/08/1628876401_274_Ces-attaques-de-phishing-sont-passees-a-lancienne-ont-utilise.png)
Microsoft a passé plus d’un an à enquêter sur cette campagne de phishing XLS.HTML. Les attaquants ont modifié leurs mécanismes d’obscurcissement et de chiffrement environ tous les 37 jours, prouvant ainsi leur compétence et leur grande motivation à maintenir l’opération opérationnelle sans être détectés.
« Dans l’itération de février, les liens vers les fichiers JavaScript ont été encodés en ASCII puis en code Morse. Pendant ce temps, en mai, le nom de domaine de l’URL du kit de phishing a été encodé dans Escape avant que l’intégralité du code HTML ne soit encodé à l’aide du code Morse.
Alors que l’objectif principal de l’attaque de phishing était de collecter les informations de connexion des utilisateurs, elle a également facilement collecté des données sur les bénéfices, telles que les emplacements des utilisateurs et les adresses IP, qu’elle prévoyait probablement d’utiliser lors de futures attaques. Microsoft a affirmé que « cette campagne de phishing est unique en ce qui concerne la longueur que prennent les attaquants pour encoder le fichier HTML afin de contourner les contrôles de sécurité. »
« La campagne de phishing XLS.HTML utilise l’ingénierie sociale pour créer des e-mails imitant les transactions commerciales régulières liées à la finance, en envoyant spécifiquement ce qui semble être des conseils de paiement de fournisseur. » La campagne relève de la catégorie d’attaques « compromis des e-mails commerciaux », une arnaque plus lucrative que les ransomwares.
En utilisant des méthodes moins flashy, comme des pièces jointes de feuille de calcul Excel, puis en redirigeant les utilisateurs vers une fausse page de connexion d’informations d’identification Microsoft Office 365 comportant le logo de leur entreprise (par exemple), de nombreux utilisateurs sont moins susceptibles de lever un drapeau rouge sur l’attaque et d’entrer leur identifiants.
N’hésitez pas à consulter Article de blog de Microsoft pour un examen plus approfondi de l’attaque, y compris la chronologie de l’évolution des techniques d’encodage d’un mois à l’autre.
passant par ZDNet