Microsoft ha revelado detalles de una evasiva campaña de ingeniería social de un año en la que los operadores siguieron cambiando sus mecanismos de ofuscación y cifrado cada 37 días en promedio, incluida la confianza en el código Morse, en un intento de cubrir sus pistas y cosechar subrepticiamente las credenciales de los usuarios.

Los ataques de phishing toman la forma de señuelos con temas de facturas que imitan las transacciones comerciales relacionadas con las finanzas, y los correos electrónicos contienen un archivo HTML («XLS.HTML»). El objetivo final es recolectar nombres de usuario y contraseñas, que posteriormente se utilizan como punto de entrada inicial para intentos posteriores de infiltración.

Microsoft comparó el archivo adjunto con un «rompecabezas», y señaló que las partes individuales del archivo HTML están diseñadas para parecer inocuas y pasar por alto el software de seguridad de terminales, solo para revelar sus verdaderos colores cuando estos segmentos se decodifican y ensamblan juntos. La compañía no identificó a los piratas informáticos detrás de la operación.

«Esta campaña de phishing ejemplifica la amenaza de correo electrónico moderna: sofisticada, evasiva y en constante evolución», dijo el equipo de inteligencia de amenazas de Microsoft 365 Defender en un análisis. «El archivo adjunto HTML se divide en varios segmentos, incluidos los archivos JavaScript que se utilizan para robar contraseñas, que luego se codifican mediante varios mecanismos. Estos atacantes pasaron de usar código HTML de texto sin formato a emplear múltiples técnicas de codificación, incluidos métodos de cifrado antiguos e inusuales como el código Morse , para ocultar estos segmentos de ataque

Al abrir el archivo adjunto, se abre una ventana del navegador que muestra un cuadro de diálogo de credenciales de Microsoft Office 365 falso en la parte superior de un documento de Excel borroso. El cuadro de diálogo muestra un mensaje instando a los destinatarios a iniciar sesión nuevamente debido a las razones por las que supuestamente se agotó el tiempo de espera para acceder al documento de Excel. En el caso de que el usuario ingrese la contraseña, la persona recibe una alerta de que la contraseña ingresada es incorrecta, mientras que el malware recolecta sigilosamente la información en segundo plano.

Se dice que la campaña ha experimentado 10 iteraciones desde su descubrimiento en julio de 2020, y el adversario cambia periódicamente sus métodos de codificación para enmascarar la naturaleza maliciosa del archivo adjunto HTML y los diferentes segmentos de ataque contenidos en el archivo.

Microsoft dijo que detectó el uso de código Morse en las oleadas de ataques de febrero y mayo de 2021, mientras que se encontró que variantes posteriores del kit de phishing dirigían a las víctimas a una página legítima de Office 365 en lugar de mostrar un mensaje de error falso una vez que se ingresaron las contraseñas. .

«Los ataques basados ​​en correo electrónico continúan haciendo nuevos intentos de eludir las soluciones de seguridad del correo electrónico», dijeron los investigadores. «En el caso de esta campaña de phishing, estos intentos incluyen el uso de mecanismos de encriptación y ofuscación multicapa para tipos de archivos conocidos existentes, como JavaScript. La ofuscación multicapa en HTML también puede evadir las soluciones de seguridad del navegador.

Fuente y redacción: thehackernews.com

Compartir