Microsoft a publié de nouveaux détails sur une campagne de phishing qui utilisait des tactiques évolutives, notamment l’utilisation du code Morse pour échapper à la détection.
Au cours de l’enquête d’un an menée par les chercheurs de Microsoft Security Intelligence, les cybercriminels à l’origine de la campagne ont modifié les mécanismes d’obscurcissement et de cryptage tous les 37 jours en moyenne pour éviter que leur opération ne soit détectée.
La campagne elle-même utilisait une pièce jointe XLS.HTML sur le thème de la facture divisée en plusieurs segments, y compris les fichiers JavaScript utilisés pour voler les mots de passe qui sont ensuite encodés à l’aide de divers mécanismes. Au cours de l’enquête de Microsoft, les attaquants sont passés de l’utilisation de code HTML en texte brut à l’utilisation de plusieurs techniques de codage, notamment des méthodes de cryptage plus anciennes et inhabituelles telles que le code Morse pour masquer ces segments d’attaque, selon un nouveau billet de blog.
Pour éviter une détection plus poussée, certains des segments de code utilisés dans la campagne n’étaient même pas présents dans la pièce jointe elle-même et résidaient plutôt dans un certain nombre de répertoires ouverts.
Sommaire
Faux avis de paiement
Cette campagne de phishing XLS.HTML utilise l’ingénierie sociale pour créer des e-mails qui imitent l’apparence des transactions commerciales liées à la finance sous la forme de faux avis de paiement.
L’objectif principal de la campagne est la collecte d’informations d’identification et, bien qu’elle ait initialement collecté des noms d’utilisateur et des mots de passe, dans sa version la plus récente, elle a également commencé à collecter d’autres informations telles que les adresses IP et les emplacements que les cybercriminels derrière elle utilisent comme point d’entrée initial pour les tentatives d’infiltration ultérieures.
Bien que XLS soit utilisé dans le fichier de pièce jointe pour inviter les utilisateurs à s’attendre à un fichier Excel, lorsque la pièce jointe est ouverte, il lance une fenêtre de navigateur à la place qui dirige les victimes potentielles vers une fausse page de connexion Microsoft Office 365. Une boîte de dialogue sur la page invite les utilisateurs à se reconnecter car leur accès au document Excel a soi-disant expiré. Cependant, si un utilisateur entre son mot de passe, il recevra alors une fausse note indiquant que le mot de passe soumis est incorrect tandis qu’un kit de phishing contrôlé par un attaquant fonctionnant en arrière-plan récolte ses informations d’identification.
Ce qui distingue cette campagne, c’est le fait que les cybercriminels derrière elle se sont donné beaucoup de mal pour encoder le fichier HTML de manière à contourner les contrôles de sécurité. Comme toujours, les utilisateurs doivent éviter d’ouvrir des e-mails provenant d’expéditeurs inconnus, en particulier lorsqu’ils leur demandent de se connecter à un service en ligne pour accéder à un fichier ou leur demander d’activer des macros.
