Hacker verwenden Morsecode in Phishing-Angriffen, um der Entdeckung zu entgehen

  • Microsoft hat Einzelheiten einer jahrelangen Social-Engineering-Kampagne bekannt gegeben, bei der die Betreiber ihre Verschleierungs- und Verschlüsselungsmechanismen im Durchschnitt alle 37 Tage änderten und dabei auch auf Morsecode zurückgriffen, um ihre Spuren zu verwischen und heimlich Anmeldedaten zu sammeln.

    Die Phishing-Angriffe erfolgen in Form von Rechnungen, die finanzielle Transaktionen vortäuschen, wobei die E-Mails eine HTML-Datei (“XLS.HTML”) enthalten. Das ultimative Ziel ist es, Benutzernamen und Kennwörter abzufangen, die dann als Einstiegspunkt für spätere Infiltrationsversuche verwendet werden.

    [Blocked Image: https://thehackernews.com/images/-9r3EBoAeEj4/YMt1nGWkOMI/AAAAAAAA4Qk/feJCltGJrFcMPYuba5Ihr7WgYxNB6oG-gCLcBGAsYHQ/s300-e100/free-ad-7-300.png]

    Microsoft verglich den Anhang mit einem “Puzzle” und wies darauf hin, dass einzelne Teile der HTML-Datei so gestaltet sind, dass sie harmlos erscheinen und an der Sicherheitssoftware für Endgeräte vorbeigehen, um dann ihr wahres Gesicht zu zeigen, wenn diese Segmente entschlüsselt und zusammengesetzt werden. Das Unternehmen hat die Hacker, die hinter der Aktion stecken, nicht identifiziert.

    “Diese Phishing-Kampagne ist ein Beispiel für die moderne E-Mail-Bedrohung: raffiniert, ausweichend und sich unaufhaltsam weiterentwickelnd”, so das Microsoft 365 Defender Threat Intelligence Team in einer Analyse. “Der HTML-Anhang ist in mehrere Segmente unterteilt, einschließlich der JavaScript-Dateien, die zum Stehlen von Kennwörtern verwendet werden, die dann mit verschiedenen Mechanismen verschlüsselt werden. Die Angreifer gingen von der Verwendung von Klartext-HTML-Code dazu über, mehrere Verschlüsselungstechniken zu verwenden, einschließlich alter und ungewöhnlicher Verschlüsselungsmethoden wie Morsecode, um diese Angriffssegmente zu verbergen.

    [Blocked Image: https://thehackernews.com/images/-BJyHHdQYK58/YRZtaEx_13I/AAAAAAAADhw/cIpWpxdofto-2DoNm9WKoXJGsYIvhemsgCLcBGAsYHQ/s0/phishing.jpg]

    Beim Öffnen des Anhangs wird ein Browserfenster geöffnet, das ein gefälschtes Dialogfeld für Microsoft Office 365-Anmeldeinformationen über einem unscharfen Excel-Dokument anzeigt. Das Dialogfeld zeigt eine Nachricht an, in der die Empfänger aufgefordert werden, sich erneut anzumelden, da ihr Zugriff auf das Excel-Dokument angeblich abgelaufen ist. Wenn der Benutzer das Kennwort eingibt, wird er gewarnt, dass das eingegebene Kennwort falsch ist, während die Malware die Informationen im Hintergrund heimlich sammelt.

    [Blocked Image: https://thehackernews.com/images/-hkQDbi8WuFc/YLy9N5FVDyI/AAAAAAAA4BQ/EWc29W968mAbwiuVzSw1vYyepjgzwGHawCLcBGAsYHQ/s728-e100/privileged_728.jpg]

    Die Kampagne soll seit ihrer Entdeckung im Juli 2020 10 Iterationen durchlaufen haben, wobei der Angreifer regelmäßig seine Verschlüsselungsmethoden änderte, um die bösartige Natur des HTML-Anhangs und die verschiedenen Angriffssegmente innerhalb der Datei zu verschleiern.

    Microsoft gab an, die Verwendung von Morsecode in den Angriffswellen vom Februar und Mai 2021 entdeckt zu haben. Spätere Varianten des Phishing-Kits leiteten die Opfer auf eine legitime Office-365-Seite weiter, anstatt eine gefälschte Fehlermeldung anzuzeigen, sobald die Passwörter eingegeben worden waren.

    “E-Mail-basierte Angriffe unternehmen weiterhin neuartige Versuche, E-Mail-Sicherheitslösungen zu umgehen”, so die Forscher. “Im Fall dieser Phishing-Kampagne beinhalten diese Versuche die Verwendung von mehrschichtigen Verschleierungs- und Verschlüsselungsmechanismen für bekannte, existierende Dateitypen wie JavaScript. Eine mehrschichtige Verschleierung in HTML kann ebenfalls Browser-Sicherheitslösungen umgehen.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com