Se detectó una nueva campaña de phishing en la que los actores de amenazas se encuentran utilizando el código Morse para ocultar sus URL maliciosas. Esto resultó ser el objetivo de la campaña, ya que están enviando correos electrónicos de phishing para recopilar las credenciales de Office 365 de los empleados de las empresas. Las muestras del ataque se cargan en VirusTotal.
Campaña de phishing usando código Morse
Dado que los motores de filtrado de correo electrónico y los empleados están mejorando en la detección de correos electrónicos de phishing en general, los actores de amenazas están desarrollando nuevos métodos para encontrar el camino y robar los datos. Recientemente se descubrió una técnica novedosa en la que los atacantes utilizan más código para ocultar sus scripts.
Como detallado por BleepingComputerla campaña fue reportado por primera vez en Reddit y subí algunas de las muestras a VirusTotal la semana pasada. Al explicar la campaña, comienza con un correo electrónico que lleva el asunto como “Ingreso_pago_factura febrero_miércoles 03/02/2021.”
Al abrir el correo electrónico se mostrará un documento de Excel adjunto titulado “[company_name]_factura_[number]._xlsx.hTML.El nombre y el número de la empresa se reemplazarán con los del objetivo para que sea más específico y fácil de relacionar. Al abrir el archivo adjunto en un editor de texto, se muestra el código JavaScript escrito en código Morse.
como el código Morse define los alfabetos y los números con solo puntos y guiones, lo hace difícil y sin sospechas para los motores de filtrado de correo electrónico para detectar los enlaces maliciosos en él. Aquí, el código se escribe en varios símbolos como ‘a‘ está asignado a ‘.-‘ y el ‘b‘ está asignado a ‘-…‘, etc.
Lea también: las mejores aplicaciones de código Morse para Android
Se configuró una función decodeMorse() para decodificar la cadena, para finalmente descomprimir en etiquetas JavaScript e inyectarlas en la página HTML. Estos combinados formarán una página de Excel falsa que le pide al usuario (objetivo) que inicie sesión antes de ver. Ingresar las credenciales sin darse cuenta como una página falsa las exportará al C2 del hacker.
Hasta la fecha, BleepingComputer detectó siete empresas objetivo de esta campaña, a saber, SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti, y Cuatro mayúsculas.
