事件概述
近期,網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一種利用摩斯密碼來執(zhí)行攻擊的新型網(wǎng)絡(luò)釣魚活動。在這種網(wǎng)絡(luò)釣魚攻擊活動中,攻擊這種使用了一種新型的模糊處理技術(shù),即利用摩斯密碼來隱藏電子郵件附件中的惡意URL地址。
關(guān)于摩斯密碼
眾所周知,塞繆爾·莫爾斯(Samuel Morse)和阿爾弗雷德·維爾(Samuel Morse)與1837年發(fā)明的,是一種早期的數(shù)字化通信形式。摩斯密碼作為一種通過電報線傳輸信息的方式,當(dāng)使用摩斯密碼時,不同于現(xiàn)代化的數(shù)字通訊,摩爾斯電碼只使用零和一兩種狀態(tài)的二進(jìn)制代碼,它的代碼包括五種:短促的點信號“?”,讀“滴”(Di)保持一定時間的長信號“—”,讀“嗒”(Da)表示點和劃之間的停頓、每個詞之間中等的停頓,以及句子之間長的停頓。
新型摩斯密碼釣魚攻擊
但是從上個禮拜開始,有網(wǎng)絡(luò)犯罪分子竟然開始利用摩斯密碼在他們的網(wǎng)絡(luò)釣魚攻擊活動中隱藏惡意網(wǎng)址,以繞過安全郵件網(wǎng)關(guān)和郵件過濾器的檢測。
據(jù)我們目前所知,此前貌似并沒有出現(xiàn)過任何應(yīng)用了摩斯密碼的網(wǎng)絡(luò)釣魚攻擊活動,因此這種方式也可以算是一種新型的模糊處理技術(shù)了。
此從研究人員從Reddit上的一個帖子首次了解到這種攻擊之后,我們能夠找到自2021年2月2日以來上傳到VirusTotal的大量目標(biāo)攻擊樣本。
這一次的網(wǎng)絡(luò)釣魚攻擊活動從一封偽裝成公司票據(jù)的電子郵件開始,郵件主題為'Revenue_payment_invoice February_Wednesday 02/03/2021.'(收入_付款_票據(jù)2月2日2021年3月2日星期三)。
這封釣魚郵件中包含了一個HTML附件,其名稱看起來像是公司的Excel票據(jù)。這些附件以“[company_name]_invoice_[number]._xlsx.hTML.”([公司名稱]_票據(jù)_[編號]._xlsx.hTML)的方式命名。
比如說,假設(shè)攻擊對象是Freebuf的話,那么釣魚郵件中的附件名稱就會變成“Freebuf_票據(jù)_1308._xlsx.hTML”。
使用文本編輯器查看附件內(nèi)容時,我們可以看到附件中包含將字母和數(shù)字映射為摩爾斯電碼的JavaScript代碼。比如說,將字母“a”映射為“.-”,字母“b”映射為“-…”,HTML釣魚附件中的源代碼如下所示:
接下來,腳本會調(diào)用decodeMorse()函數(shù)來將摩斯密碼字符串解碼為十六進(jìn)制字符串。這個十六進(jìn)制字符串會被進(jìn)一步解碼為JavaScripti標(biāo)簽,并被注入至HTML頁面中:
這些被注入的腳本將與HTML附件捆綁在一起,并使用各種必要的資源來給目標(biāo)用戶呈現(xiàn)一個偽造的Excel電子表格,并在表格中告知用戶登錄超時,并要求用戶再次輸入Office的登錄密碼:
當(dāng)用戶輸入自己的密碼之后,表單就會將密碼提交至攻擊者控制的遠(yuǎn)程站點,并完成登錄憑證的收集。
這一次的網(wǎng)絡(luò)攻擊活動極具針對性,攻擊者使用了logo.clearbit.comservice來向登錄表單中注入目標(biāo)用戶所在公司的圖標(biāo),使其更具說服力。如果公司圖標(biāo)不可用的話,則會改為使用通用的Office 365圖標(biāo)。
研究人員通過分析后發(fā)現(xiàn),目前已有11家公司成為了此次網(wǎng)絡(luò)釣魚攻擊的目標(biāo),包括SGS、Dimensional、Metrohm、SBI(Mauritius)Ltd、NUOVO Imie、普利司通、Cargeas、ODDO BHF Asset Management、Dea Capital、Equinti和Capital Four。
后話
隨著技術(shù)的進(jìn)步,郵件網(wǎng)關(guān)針對惡意電子郵件的檢測能力越來越強(qiáng),但網(wǎng)絡(luò)釣魚攻擊活動的復(fù)雜程度也越來越高。
因此,在提交任何信息之前,每個用戶都必須密切關(guān)注跟郵件相關(guān)的URL地址和附件名稱。如果發(fā)現(xiàn)任何可疑的東西,收件人應(yīng)該立刻聯(lián)系他們的網(wǎng)絡(luò)管理員以進(jìn)行進(jìn)一步調(diào)查。
由于在此次網(wǎng)絡(luò)釣魚攻擊活動中,惡意電子郵件使用的是具有雙擴(kuò)展名(xlxs和HTML)的附件,因此廣大用戶可以通過啟用Windows文件擴(kuò)展名來輕松發(fā)現(xiàn)并識別可疑附件。