Une technique d’hameçonnage utilise le code Morse pour cacher les URL

Une nouvelle campagne d’hameçonnage ciblée inclut une nouvelle technique d’obfuscation consistant à utiliser le code Morse pour masquer les URL malveillantes dans une pièce jointe à un e-mail.

Samuel Morse et Alfred Vail ont inventé le code Morse comme moyen de transmettre des messages sur un fil télégraphique. Lors de l’utilisation du code Morse, chaque lettre et chiffre est codé sous la forme d’une série de points (son court) et de tirets (son long).

À partir de la semaine dernière, un pirate(ou groupe de pirate) a commencé à utiliser le code Morse pour masquer les URL malveillantes sous leur forme d’hameçonnage afin de contourner les passerelles de messagerie sécurisées et les filtres de messagerie.

Nous n’avons trouvé aucune référence au code Morse utilisé dans les attaques d’hameçonnage dans le passé, ce qui en fait une nouvelle technique d’obfuscation.

La nouvelle attaque d’hameçonnage et le code Morse

Après avoir pris connaissance de cette attaque suite à un message sur Reddit, nous avons pu découvrir de nombreux échantillons de l’attaque ciblée partagés sur VirusTotal depuis le 2 février 2021.

L’attaque d’hameçonnage commence par un e-mail prétendant être une facture pour l’entreprise avec un objet de courrier comme “Revenue_payment_invoice February_Wednesday 02/03/2021”.

hameçonnage e-mail Morse

Cet e-mail contient une pièce jointe HTML nommée de manière à apparaître comme une facture Excel pour l’entreprise. Ces pièces jointes sont nommées au format «[nom_entreprise]_facture_[numéro]._xlsx.hTML».

Par exemple, si TechSecuriteNews était ciblé, la pièce jointe serait nommée «techsecuritenews_invoice_1308._xlsx.hTML».

Lorsque vous affichez la pièce jointe dans un éditeur de texte, vous pouvez voir qu’elle inclut du JavaScript qui mappe les lettres et les chiffres au code Morse. Par exemple, la lettre «a» est mappée sur «.-» et la lettre «b» est mappée sur «-…», comme illustré ci-dessous.

morse

Le script appelle ensuite une fonction decodeMorse() pour décoder une chaîne de code Morse en une chaîne hexadécimale. Cette chaîne hexadécimale est ensuite décodée en balises JavaScript qui sont injectées dans la page HTML.

scripts

Ces scripts injectés associés à la pièce jointe HTML contiennent les différentes ressources nécessaires pour créer une fausse feuille de calcul Excel qui indique que leur connexion a expiré et les invite à saisir à nouveau leur mot de passe.

office

Une fois qu’un utilisateur entre son mot de passe, le formulaire soumet le mot de passe à un site distant où les attaquants peuvent collecter les informations de connexion.

Cette campagne est très ciblée, l’acteur de la menace utilise le service logo.clearbit.com pour insérer des logos pour les entreprises destinataire dans le formulaire de connexion afin de le rendre plus convaincant. Si un logo n’est pas disponible, il utilise le logo générique d’Office 365, comme indiqué dans l’image ci-dessus.

Près de onze entreprises ont été ciblées par cette attaque d’hameçonnage, notamment SGS, Dimensional, Metrohm, SBI (Ile Maurice) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti et Capital Four.

Les escroqueries par hameçonnage deviennent de plus en plus complexes chaque jour à mesure que les passerelles de messagerie améliorent la détection des e-mails malveillants.

Pour cette raison, tout le monde doit porter une attention particulière aux URL et aux noms de pièces jointes avant de soumettre des informations. Si quelque chose semble suspect, les destinataires doivent contacter leurs administrateurs réseau pour approfondir leur enquête.

Comme cet e-mail d’hameçonnage utilise des pièces jointes à double extension (xlxs et HTML), il est important de s’assurer que les extensions de fichiers Windows sont activées pour faciliter la détection des pièces jointes suspectes.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires