近期,网络安全研究人员发现了一种利用摩斯密码来执行攻击的新型网络钓鱼活动。在这种网络钓鱼攻击活动中,攻击这种使用了一种新型的模糊处理技术,即利用摩斯密码来隐藏电子邮件附件中的恶意URL地址。
众所周知,塞缪尔·莫尔斯(Samuel Morse)和阿尔弗雷德·维尔(Samuel Morse)与1837年发明的,是一种早期的数字化通信形式。摩斯密码作为一种通过电报线传输信息的方式,当使用摩斯密码时,不同于现代化的数字通讯,摩尔斯电码只使用零和一两种状态的二进制代码,它的代码包括五种:短促的点信号“・”,读“滴”(Di)保持一定时间的长信号“—”,读“嗒”(Da)表示点和划之间的停顿、每个词之间中等的停顿,以及句子之间长的停顿。
但是从上个礼拜开始,有网络犯罪分子竟然开始利用摩斯密码在他们的网络钓鱼攻击活动中隐藏恶意网址,以绕过安全邮件网关和邮件过滤器的检测。
据我们目前所知,此前貌似并没有出现过任何应用了摩斯密码的网络钓鱼攻击活动,因此这种方式也可以算是一种新型的模糊处理技术了。
此从研究人员从Reddit上的一个帖子首次了解到这种攻击之后,我们能够找到自2021年2月2日以来上传到VirusTotal的大量目标攻击样本。
这一次的网络钓鱼攻击活动从一封伪装成公司票据的电子邮件开始,邮件主题为'Revenue_payment_invoice February_Wednesday 02/03/2021.'(收入_付款_票据 2月2日\ 2021年3月2日星期三)。
这封钓鱼邮件中包含了一个HTML附件,其名称看起来像是公司的Excel票据。这些附件以“[company_name]_invoice_[number]._xlsx.hTML.”([公司名称]_票据_[编号]._xlsx.hTML)的方式命名。
比如说,假设攻击对象是Freebuf的话,那么钓鱼邮件中的附件名称就会变成“Freebuf_票据_1308._xlsx.hTML”。
使用文本编辑器查看附件内容时,我们可以看到附件中包含将字母和数字映射为摩尔斯电码的JavaScript代码。比如说,将字母“a”映射为“.-”,字母“b”映射为“-…”,HTML钓鱼附件中的源代码如下所示:
接下来,脚本会调用decodeMorse()函数来将摩斯密码字符串解码为十六进制字符串。这个十六进制字符串会被进一步解码为JavaScripti标签,并被注入至HTML页面中:
这些被注入的脚本将与HTML附件捆绑在一起,并使用各种必要的资源来给目标用户呈现一个伪造的Excel电子表格,并在表格中告知用户登录超时,并要求用户再次输入Office的登录密码:
当用户输入自己的密码之后,表单就会将密码提交至攻击者控制的远程站点,并完成登录凭证的收集。
这一次的网络攻击活动极具针对性,攻击者使用了logo.clearbit.comservice来向登录表单中注入目标用户所在公司的图标,使其更具说服力。如果公司图标不可用的话,则会改为使用通用的Office 365图标。
研究人员通过分析后发现,目前已有11家公司成为了此次网络钓鱼攻击的目标,包括SGS、Dimensional、Metrohm、SBI(Mauritius)Ltd、NUOVO Imie、普利司通、Cargeas、ODDO BHF Asset Management、Dea Capital、Equinti和Capital Four。
随着技术的进步,邮件网关针对恶意电子邮件的检测能力越来越强,但网络钓鱼攻击活动的复杂程度也越来越高。
因此,在提交任何信息之前,每个用户都必须密切关注跟邮件相关的URL地址和附件名称。如果发现任何可疑的东西,收件人应该立刻联系他们的网络管理员以进行进一步调查。
由于在此次网络钓鱼攻击活动中,恶意电子邮件使用的是具有双扩展名(xlxs和HTML)的附件,因此广大用户可以通过启用Windows文件扩展名来轻松发现并识别可疑附件。