网路上出现一种以摩斯密码作为新型隐匿技术的全新针对性网路钓鱼攻击,会将恶意 URL 隐藏在电子邮件附件中。
摩斯密码是由摩斯(Samuel Morse)和 Alfred Vail 共同发明,以作为经由电报线发送消息的一种方式。在使用摩斯密码时,每个字母和数字会被编码成为一连串的短音(以点「.」表示,唸做「滴」)及长音(以破折号「-」表示,唸做「答」)。
从上週开始,某威胁发动者开始利用摩斯密码将恶意 URL 隐藏在钓鱼邮件中,进而规避安全邮件闸道器与邮件过滤器。由于在过去并没有发现有将摩斯密码应用在网路钓鱼攻击中的案例,所以这样的攻击手法无异是一种新型的隐匿技术。
该攻击会显示使用者登入逾时并要求重输密码的诱骗讯息
自从在 Reddit 上的贴文首次知道有这种攻击之后,我们也找到了自 2021 年 2 月 2 日以来上传到 VirusTotal 上的大量针对性攻击样本。该网路钓鱼攻击是从一封冒充某公司发票的电子邮件开始的,该邮件上标明了像是「Revenue_payment_invoice February_Wednesday 02/03/2021」的邮件主旨。
该电子邮件包含一个 HTML 附件,该附件会以这种看起来像是收件公司 Excel 发票的方式来命名。换言之,这些附件是以「[company_name] _invoice_ [number] ._ xlsx.hTML」的格式来命名。例如,如果是《》遭到锁定的话,那幺该攻击就会将附件命名为「TechNews_invoice_1308._xlsx.hTML」。
透过记事本检视该附件时,你会从中看到包含将字母和数字对应成摩斯密码的 JavaScript。例如,字母「a」被对应成「.-」,字母「b」被对应成「-…」。该描述语言接着会呼叫 defineMorse() 函数,以便将摩斯密码字串解码成为十六进位字串。这个十六进位字串会被进一步解码成 JavaScript 标籤,以便植入到 HTML 页面中。
这些与 HTML 附件相整合的植入描述语言,内含了呈现伪造 Excel 试算表所需的各种资源,该描述语言会在画面上指出使用者登入逾时,并提示他们再次输入密码。一旦使用者输入密码,该表单会将密码提交到远端网站上,恶意攻击者可从中收集登录凭证。这个恶意活动极具针对性,尤其是威胁发动者会使用 logo.clearbit.comservice,以便将收件人公司的商标嵌入至登录表单中,以使其更具说服力。
目前已有 11 家公司沦为受害者
截至目前为止,已发现有 11 家公司遭到此针对性网路钓鱼的攻击,其中包括 SGS 通用验证集团、Dimensional、瑞士美创(Metrohm)、模里西斯 SBI、NUOVO IMAIE、普利司通(Bridgestone)、义大利保险公司 Cargeas、欧洲资产管理商 ODDO BHF Asset Management、Dea Capital、Equinti 和 Capital Four。
随着邮件闸道器愈来愈擅长侦测恶意电子邮件,致使网路钓鱼诈骗也日复一日地变得更加複杂。正因为如此,每个人在提交任何资讯之前,都必须密切注意 URL 和附件的名称。如果看起来有些可疑,那幺收件人实应联繫网路管理员以展开进一步的调查。由于这个网路钓鱼电子邮件使用具有双副档名(xlxs 和 HTML)的附件,因此请务必确认系统会显示 Windows 档案副档名,以便能更容易地发现可疑附件。
- New phishing attack uses Morse code to hide malicious URLs
