Nietypowa metoda hakerów na ukrycie ataku. Używali alfabetu Morse'a
Starając się pozyskać dane wrażliwe, oszuści sięgną po każdą, nawet najbardziej nietypową metodę. Jak ujawnił Microsoft, w trakcie jednej z rocznych kampanii hakerów, ci ostatni polegali, między innymi, na alfabecie Morse’a w celu zacierania swoich śladów.
Zgodnie z informacjami The Hacker News, oszuści mieli zmieniać swoje mechanizmy działania średnio co 37 dni. Dzięki ciągłemu zmienianiu swoich metod i mechanizmów szyfrowania byli w stanie prowadzić jedną kampanię tak długo i pozostawać nieuchwytnymi dla organów ścigania.
Metoda działania
Microsoft zdradził, że ataki phishingowe przeprowadzane w ramach tej kampanii przybierają formę wiadomości z plikami XLS przypominającymi faktury. Celem hakerów jest pozyskanie nazw użytkowników i haseł. Te zaś są następnie wykorzystywane do późniejszych prób infiltracji.
Tego rodzaju działanie nie jest nietypowe. Microsoft zauważa, że poszczególne części przesyłanego załącznika są zaprojektowane tak, aby wyglądały nieszkodliwie. W ten sposób szkodliwy kod jest w stanie poradzić sobie z ewentualnym oprogramowaniem zabezpieczającym.
Zespół Microsoft 365 Defender podał, że wskazana przez nich kampania phishingowa stanowi przykład współczesnego zagrożenia. Ataki stają się bardziej wyrafinowane, a przede wszystkim, nieustannie ewoluują i zmieniają swoją formę. Oszuści, poprzez dzielenie szkodliwego załącznika na kilka segmentów, są w stanie ukryć jego prawdziwe działanie. Dopiero po złożeniu wszystkich części razem, okazuje się, że plik zawiera w sobie groźną zawartość.
Otwarcie załącznika uruchamia u użytkownika okno przeglądarki, które wyświetla fałszywe okno Microsoft Office 365 nad zamazanym dokumentem Excela. Wyświetlony zostaje komunikat proszący o ponowne zalogowania się z powodu rzekomego przekroczenia czasu limitu dostępu. W przypadku, gdy użytkownik wprowadzi hasło, zostanie powiadomiony, że jest ono nieprawidłowe, podczas gdy złośliwe oprogramowanie potajemnie przechwyci je w tle.
Ciągła zmiana podstawą sukcesu
The Hacker News informuje, że nadal nie zidentyfikowano hakerów stojących za operacją. Wiadomo za to, że atakujący przeszli od używania zwykłego kodu HTML do stosowania wielu technik kodowania. Oszuści korzystali nawet ze starych i nietypowych metod szyfrowania, takich jak alfabet Morse'a, aby ukryć prawdziwe przeznaczenie tworzonych przez nich załączników.
Cała kampania, zdaniem Microsoftu, przeszła już 10 iteracji od jej odkrycia w lipcu 2020 roku. Od tego momentu zmieniają się nadal metody szyfrowania wykorzystywane przez oszustów oraz różne segmenty ataków zawarte w pliku.