【屢見奇招】新式網絡釣魚 摩斯密碼隱藏惡意URL
BleepingComputer 披露,在本月初發現一款新型釣魚電郵活動,其附件含有以摩斯密碼掩藏的惡意 URL,繞過電郵安全過濾,由於過去未有同類以摩斯密碼作案的例子,因此事件被視為新型的混淆技術。這究竟是甚麼一回事呢?
BleepingComputer 2 月 2 日在外國知名論壇 Reddit,發現首則關於使用摩斯密碼的釣魚電郵,並發現大量上傳到 VirusTotal 的攻擊樣本。這次網絡釣魚攻擊,以冒充受害公司發票的電子郵件,並以 “Revenue_payment_invoice February_Wednesday 02/03/2021” 為題;電郵中含有一個 HTML 附件,其命名方式模彷受害公司的 Excel 檔發票,命名為 “[company_name] _invoice_ [number] ._ xlsx.hTML”。
若以文本編輯器(text editor)查看附件,便會看到以摩爾斯電碼編寫的字母和數字轉換到 JavaScript 中,例如字母 “a” 被轉換為 “.-”,字母 “b” 被轉換為“-…”。 然後,JavaScript 將調用 defineMorse()函數將摩爾斯電碼字符串,解碼為十六進制字符串,再將此十六進制字符串,進一步解碼放入 HTML 頁面中的 JavaScript tags。這些 JavaScript code 與 HTML 附件結合,呈現偽造的 Excel 所必需的各種資源,一旦開啟附件便會彈出登錄超時提示,並要用戶再次輸入密碼。當用戶輸入密碼後,該表單便會將密碼傳送到一個遠端網站,攻擊者就可以該在該網站收集不同用戶的登錄憑據。
BleepingComputer 指出,此釣魚活動具有高針對性,並運用 logo.clearbit.comservice 在登錄表單中,插入收件人公司的圖徽,提升像真度。如果收件人公司的圖徽不可用,便會改用 Office 365 圖徽。 BleepingComputer 發現已有 11 間公司受到此網絡釣魚攻擊的攻擊,其中包括 SGS、Dimensional、Metrohm、SBI (Mauritius) Ltd、NUOVO IMAIE、 Bridgestone、Cargeas、ODDO BHF Asset Management、Dea Capital、Equinti 及 Capital Four。
由於檢測惡意電子郵件的系統愈趨精準,網絡釣魚詐騙亦會變得愈來愈複雜。因此 BleepingComputer 提醒,在提交任何信息之前,都應注意 URL 和附件名稱,如果覺得可疑,收件人應聯繫其網絡管理員以作進一步調查。 由於此類網絡釣魚電子郵件使用具有雙擴展名(xlxs和HTML)的附件,因此應啟用 Windows file extensions,以更易發現可疑附件。