Nueva campaña de phishing encontrada usando código Morse para ocultar scripts maliciosos

Se ha detectado una nueva campaña de phishing, donde los agentes de amenazas se encuentran utilizando código Morse para ocultar sus URL maliciosas. Esto comenzó a dirigirse a la campaña, ya que están enviando correos electrónicos de phishing para recopilar las credenciales de Office 365 de los empleados de la empresa. Las muestras del ataque se cargan en VirusTotal.

Campaña de phishing con código Morse

Nueva campaña de phishing encontrada usando código Morse para ocultar scripts maliciosos

A medida que los empleados y los mecanismos de filtrado de correo electrónico detectan cada vez mejor los correos electrónicos de phishing en general, los agentes de amenazas están desarrollando nuevos métodos para encontrar el camino y robar datos. Una nueva técnica encontrada recientemente, en la que los atacantes están usando el código More para ocultar sus scripts.

Como detallado por BleepingComputer, la campaña fue informó por primera vez en Reddit y algunas de las muestras se enviaron a VirusTotal la semana pasada. Explicando la campaña, comienza con un correo electrónico con el asunto «Revenue_payment_invoice February_ Wednesday 02/03/2021. «

Correo electrónico de phishing

Al abrir el correo electrónico, se mostrará un documento de Excel adjunto titulado «[company_name]_factura_[number]._xlsx.hTML.“El nombre y el número de la empresa serán reemplazados por los del objetivo para que sean más específicos y fáciles de identificar. Al abrir el archivo adjunto en un editor de texto, se muestra el código JavaScript que se escribe en código Morse.

Adjunto de código Morse

Mientras que la código Morse define alfabetos y números solo con puntos y guiones, lo que hace que sea difícil y desprevenido para los motores de filtrado de correo electrónico detectar enlaces maliciosos en él. Aquí, el código se escribe con varios símbolos como ‘uno‘está mapeado a’.-‘ y el ‘B‘está mapeado a’-…‘, etc.

Lea también – Las mejores aplicaciones de código Morse para Android

Se definió una función decodeMorse () para decodificar la cadena, para finalmente descomprimirla en etiquetas JavaScript e inyectarlas en la página HTML. Estos combinados formarán una página de Excel falsa que le pide al usuario (destino) que inicie sesión antes de ver. Insertar las credenciales sin darse cuenta de cómo una página falsa las exportará al C2 del hacker.

Hasta la fecha, BleepingComputer ha identificado siete empresas objetivo de esta campaña, a saber, SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti, y Cuatro capiteles.