Une nouvelle campagne de phishing ciblĂ©e comprend la nouvelle technique dâobfuscation consistant Ă utiliser le code Morse pour masquer des URL malveillantes dans une piĂšce jointe Ă un e-mail.
Samuel Morse et Alfred Vail ont inventĂ© le code morse comme moyen de transmettre des messages sur un fil. Lors de lâutilisation du code Morse, chaque lettre et chiffre est codĂ© sous la forme dâune sĂ©rie de points (son court) et de tirets (son long). [on ne vous apprends rien...]
Depuis la semaine derniÚre, un acteur menaçant a commencé à utiliser le code Morse pour masquer les URL malveillantes sous forme de phishing afin de contourner les passerelles de messagerie sécurisées et les filtres de messagerie.
Le site BleepingComputer nâa trouvĂ© aucune rĂ©fĂ©rence au code Morse utilisĂ© dans les attaques de phishing dans le passĂ©, ce qui en fait une nouvelle technique dâobfuscation.
Mais qui est BleepingComputerâ?
Bleeping Computer est un site Web couvrant lâactualitĂ© technologique et offrant une aide informatique gratuite via ses forums, crĂ©Ă© par Lawrence Abrams en 2004. Il publie des informations axĂ©es sur la cybersĂ©curitĂ©, mais couvre Ă©galement dâautres sujets, notamment les programmes informatiques, le matĂ©riel informatique, le systĂšme dâexploitation et la technologie gĂ©nĂ©rale.
En 2018, Bleeping Computer a été ajouté en tant que partenaire associé au projet Europol NoMoreRansom pour les informations sur les ransomwares et les outils de décryptage fournies par le site. [info Wikipédia]
La nouvelle attaque de phishing en code Morse
AprĂšs avoir pris connaissance de cette attaque Ă partir dâun message sur le forum Reddit, BleepingComputer a pu trouver de nombreux Ă©chantillons dâattaques ciblĂ©es tĂ©lĂ©chargĂ©s sur VirusTotal depuis le 2 fĂ©vrier 2021.
Comment sây prennent-ilsâ?
Lâattaque de phishing commence par un e-mail prĂ©tendant ĂȘtre une facture dâentreprise avec un objet de courrier comme «âRevenue_payment_invoice February_Wednesday 02/03/2021â» (voir la capture ci-dessous).
Cet e-mail comprend une piĂšce jointe HTML nommĂ©e de maniĂšre Ă apparaĂźtre comme une facture Excel de lâentreprise. Ces piĂšces jointes sont nommĂ©es au format «â[nom_entreprise] _ facture_ [numĂ©ro] ._ xlsx.hTMLâ».
Par exemple, si BleepingComputer Ă©tait ciblĂ©, la piĂšce jointe serait nommĂ©e «âbleepingcomputer_invoice_1308._xlsx.hTMLâ».
Lorsque vous affichez la piĂšce jointe dans un Ă©diteur de texte, vous pouvez voir quâelles incluent du JavaScript qui mappe les lettres et les chiffres au code Morse. Par exemple, la lettre «âaâ» est mappĂ©e sur «â. ââ» et la lettre «âbâ» est mappĂ©e sur «â-âŠâ», comme illustrer ci-dessous.
Le script appelle ensuite une fonction decodeMorse () pour décoder une chaßne de code Morse en une chaßne hexadécimale. Cette chaßne hexadécimale est ensuite décodée en balises JavaScript qui sont injectées dans la page HTML.
Ces scripts injectés combinés à la piÚce jointe HTML contiennent les différentes ressources nécessaires pour rendre une fausse feuille de calcul Excel indiquant que leur connexion a expiré et les invite à saisir à nouveau leur mot de passe.
Une fois quâun utilisateur entre son mot de passe, le formulaire soumet le mot de passe Ă un site distant oĂč les attaquants peuvent collecter les informations de connexion.
Cette campagne est trĂšs ciblĂ©e, lâacteur de la menace utilisant le service logo.clearbit.com pour insĂ©rer des logos pour les entreprises du destinataire dans le formulaire de connexion afin de le rendre plus convaincant. Si un logo nâest pas disponible, il utilise le logo «âOffice 365 gĂ©nĂ©riqueâ», comme indiquĂ© dans lâimage ci-dessus.
Pour le moment on dénombre onze entreprises ciblées par cette attaque de phishing, notamment SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equiniti et Capital Four.
Les escroqueries par hameçonnage deviennent de plus en plus complexes chaque jour, car les passerelles de messagerie améliorent la détection des e-mails malveillants.
Pour cette raison, tout le monde doit porter une attention particuliĂšre aux URL et aux noms de piĂšces jointes avant de soumettre des informations. Si quelque chose semble suspect, les destinataires doivent contacter leurs administrateurs rĂ©seau pour approfondir leur enquĂȘte.
Comme cet e-mail de phishing utilise des piĂšces jointes Ă double extension (xlxs et HTML), il est important de sâassurer que les extensions de fichiers Windows sont activĂ©es pour faciliter la dĂ©tection des piĂšces jointes suspectes.
Sur le site ON5VL nous recevons aussi réguliÚrement des emails frauduleux, heureusement de Gmail surveille [wp-svg-icons icon="cool" wrap="i"] Voici un exemple :
Traduction avec autorisation de lâarticle du site BleepingComputer «âNew phishing attack uses Morse code to hide malicious URLsâ» par Lawrence Abrams.
A propos de l'auteur
