logo

Eine neue gezielte Phishing-Kampagne umfasst die neuartige Verschleierungstechnik, Morsecode zum Verbergen bösartiger URLs in einem E-Mail-Anhang zu verwenden. Bei Verwendung von Morsecode wird jeder Buchstabe und jede Zahl als eine Reihe von Punkten und Bindestrichen codiert.

Seit Anfang Februar begann ein Bedrohungsakteur, Morsecode zu verwenden, um schädliche URLs in ihrer Phishing-Form zu verbergen, um sichere Mail-Gateways und Mail-Filter zu umgehen. Bisher wurde keine Verweise auf Morse-Code gefunden, der in der Vergangenheit bei Phishing-Angriffen verwendet wurde, was dies zu einer neuartigen Verschleierungstechnik macht.

Die E-Mails enthalten eine HTML-Anlage im Format „xlsx.hTML“.

Wenn Sie die Anlage in einem Texteditor anzeigen, können Sie sehen, dass sie JavaScript enthalten, das Buchstaben und Zahlen Morsecode zuordnet.

Das Skript ruft dann eine decodeMorse-Funktion auf, um eine Morse-Codezeichenfolge in eine hexadezimale Zeichenfolge zu dekodieren. Diese hexadezimale Zeichenfolge wird weiter in JavaScript-Tags decodiert, die in die HTML-Seite eingefügt werden.

Diese eingefügten Skripts in Kombination mit der HTML-Anlage enthalten die verschiedenen Ressourcen, die zum Rendern einer gefälschten Excel-Tabelle erforderlich sind, in der das Timeout der Anmeldung angezeigt wird und sie aufgefordert werden, ihr Kennwort erneut einzugeben.

Sobald ein Benutzer sein Kennwort eingibt, sendet das Formular das Kennwort an eine Remotesite, an der die Angreifer die Anmeldeinformationen sammeln können.

Phishing-Betrug wird von Tag zu Tag komplizierter, da Mail-Gateways bösartige E-Mails besser erkennen können. Aus diesem Grund muss jeder genau auf URLs und Anlagennamen achten, bevor er Informationen einreicht. Da diese Phishing-E-Mail Anhänge mit Doppelerweiterung (xlxs und HTML) verwendet, ist es wichtig, sicherzustellen, dass Windows-Dateierweiterungen aktiviert sind, um es einfacher zu machen, verdächtige Anhänge zu erkennen.

https://www.bleepingcomputer.com/news/security/new-phishing-attack-uses-morse-code-to-hide-malicious-urls/

(Quelle: Württemberg-Rundspruch / Jürgen, DL8MA)

 

© 2021 Funkzentrum In Media e. V.
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.