De acordo com a equipa da Microsoft Security Intelligence, os cibercriminosos estão a mudar as suas táticas rapidamente, o que torna necessário que as medidas de proteção e segurança acompanhem essa evolução. A Microsoft revelou que um grupo de hackers está a usar código Morse para ocultar os ataques de phishing.
O grupo recorre a uma técnica de puzzles, usando faturas em Excel HTML ou documentos web com o objetivo de obterem credenciais de acesso, tais como nome do utilizador, passwords e endereço IP, para puderem usar em futuras tentativas de ataques. A particularidade desta técnica, que usa caracteres do código Morse para esconder o ataque phishing, é que contorna os controles de segurança e proteção, por ser um método antigo e incomum, que aparenta ser inofensivo.
“O anexo HTML é dividido em vários segmentos, incluindo os arquivos JavaScript usados para roubar senhas, que são codificados usando vários mecanismos. Esses cibercriminosos passaram do código HTML de texto simples para a utilização de várias técnicas de codificação, incluindo métodos de criptografia antigos e incomuns, como o código Morse , para ocultar esses segmentos de ataque “, afirma o Microsoft Security Intelligence .
“Por si só, os segmentos individuais do arquivo HMTL podem parecer inofensivos a nível do código e podem, assim, escapar às soluções de segurança convencionais. Somente quando esses segmentos são colocados juntos e devidamente descodificados se vê a intenção maliciosa “, cita a ZDnet.
Estes ataques phishing XLS.HTML baseiam-se na criação de e-mails que parecem ser um aviso de pagamento. Segundo a Microsoft “o uso de XLS no nome do arquivo em anexo serve para que os utilizadores esperem por um arquivo em formato Excel. Quando o anexo é aberto, abre uma janela de navegação e mostra uma caixa de texto com credenciais falsas do Microsoft Office 365 em cima do documento Excel desfocado. Assim, a caixa de diálogo pode conter informações sobre as vitímas do ataque, como o endereço de e-mail e, em alguns casos, o logotipo da empresa. “
O código Morse é usado em conjunto com JavaScript. Esta técnica foi detetada por Lawrence Abrams da Bleeping Computer em fevereiro. “Os links para os arquivos JavaScript foram codificados usando ASCII e depois em código Morse. Enquanto isso, em maio, o nome de domínio da URL do kit de phishing foi codificado em Escape antes que todo o código HTML fosse codificado em código Morse.”
