Gangue especializada em phishing usa Código Morse para encobrir ataques

Views: 723
0 0
Read Time:2 Minute, 26 Second

Por Felipe Gugelmin

Como forma de encobrir seus ataques e despistas sistemas de segurança, cibercriminosos estão recorrendo a solução inusitadas em suas ofensivas. Uma gangue investigada pela Microsoft Security Intelligence está empregando Código Morse para esconder segmentos maliciosos de documentos Excel HTML usados em campanhas contra alvos corporativos.

Segundo explica a empresa, o segmento HTML usado nos ataques é dividido em várias partes, incluindo um arquivo JavaScript dedicado a roubar senhas, que posteriormente são criptografadas usando vários mecanismos. Entre as soluções usadas pelos criminosos nesse momento está o Código Morse, que é constituído por sequências de linhas e pontos.

“Na prática, o anexo é comparável a um quebra-cabeça: sozinhos, os segmentos individuais do arquivo HTML podem parecer inofensivos no nível do código e podem acabar passando por soluções de segurança convencionais. Somente quando esses segmentos são colocados juntos e propriamente decodificados é que a intenção maliciosa se mostra”, explica a Microsoft Security.

Para a empresa, o que torna a campanha de phishing única é a complexidade dos métodos que usa para passar despercebida. No entanto, seu objeto é comum para esse tipo de ação criminosa: roubar nomes de usuários e senhas, além de coletar dados sobre o endereço de IP e localização da máquina afetada em busca de brechas que possam ser usadas em ataques futuros.

Golpe com elementos de engenharia social

Além de usar métodos de codificação inusitados, o ataque também usa camadas de engenharia social para funcional. Os e-mails usados tendem a imitar transações comerciais comuns, usando principalmente o que parecem ser pedidos de conselho para o pagamento de fornecedores. Os anexos usados pelos criminosos são modificados de forma a fazer com que a vítima acredite que está abrindo um arquivo comum do Excel.

Imagem: Divulgação/Microsoft Security Intelligence

No entanto, ao fazer isso, o alvo inicia uma janela do navegador que mostra credenciais falsas do Microsoft Office 365 em cima de um documento borrado do Excel. “Notavelmente, a caixa de diálogo pode mostrar informações sobre seus alvos, como o endereço de e-mail e, em alguns casos, o logo de suas companhias”, explica a Microsoft Security.

Segundo a empresa, o código investigado por ela em fevereiro deste ano trazia um link para arquivos JavaScript que era manuseado com a linguagem ASCII e, em seguida, com Código Morse. Já a versão verificada em maio trazia um kit de phishing desenvolvido em Escape, antes de todo a programação em HTML ser novamente convertida em Código Morse.

A Microsoft aconselha que usuários do Office 365 configurem políticas do Outlook para filtrar elementos .html, .htm e qualquer tipo de arquivo que não seja necessário para negócios. Ela também pede que evitem usar as mesmas senhas em diversos serviços, liguem políticas seguras de anexos e que empresas promovam programas de conscientização para que funcionários fiquem atento a e-mails com elementos incomuns de escrita e com endereços suspeitos.

FONTE: CANALTECH

POSTS RELACIONADOS