Gangue especializada em phishing usa Código Morse para encobrir ataques

Como forma de encobrir seus ataques e despistas sistemas de segurança, cibercriminosos estão recorrendo a solução inusitadas em suas ofensivas. Uma gangue investigada pela Microsoft Security Intelligence está empregando Código Morse para esconder segmentos maliciosos de documentos Excel HTML usados em campanhas contra alvos corporativos.

• Queda nos casos de phishing indica que criminosos estão buscando outros caminhos
• Metade das organizações não está preparada para ataques de phishing e ransomware
• Novo recurso do Gmail quer impedir que você seja vítima de phishing

Segundo explica a empresa, o segmento HTML usado nos ataques é dividido em várias partes, incluindo um arquivo JavaScript dedicado a roubar senhas, que posteriormente são criptografadas usando vários mecanismos. Entre as soluções usadas pelos criminosos nesse momento está o Código Morse, que é constituído por sequências de linhas e pontos.

“Na prática, o anexo é comparável a um quebra-cabeça: sozinhos, os segmentos individuais do arquivo HTML podem parecer inofensivos no nível do código e podem acabar passando por soluções de segurança convencionais. Somente quando esses segmentos são colocados juntos e propriamente decodificados é que a intenção maliciosa se mostra”, explica a Microsoft Security.

Para a empresa, o que torna a campanha de phishing única é a complexidade dos métodos que usa para passar despercebida. No entanto, seu objeto é comum para esse tipo de ação criminosa: roubar nomes de usuários e senhas, além de coletar dados sobre o endereço de IP e localização da máquina afetada em busca de brechas que possam ser usadas em ataques futuros.

Golpe com elementos de engenharia social

Além de usar métodos de codificação inusitados, o ataque também usa camadas de engenharia social para funcional. Os e-mails usados tendem a imitar transações comerciais comuns, usando principalmente o que parecem ser pedidos de conselho para o pagamento de fornecedores. Os anexos usados pelos criminosos são modificados de forma a fazer com que a vítima acredite que está abrindo um arquivo comum do Excel.

No entanto, ao fazer isso, o alvo inicia uma janela do navegador que mostra credenciais falsas do Microsoft Office 365 em cima de um documento borrado do Excel. “Notavelmente, a caixa de diálogo pode mostrar informações sobre seus alvos, como o endereço de e-mail e, em alguns casos, o logo de suas companhias”, explica a Microsoft Security.

Segundo a empresa, o código investigado por ela em fevereiro deste ano trazia um link para arquivos JavaScript que era manuseado com a linguagem ASCII e, em seguida, com Código Morse. Já a versão verificada em maio trazia um kit de phishing desenvolvido em Escape, antes de todo a programação em HTML ser novamente convertida em Código Morse.

A Microsoft aconselha que usuários do Office 365 configurem políticas do Outlook para filtrar elementos .html, .htm e qualquer tipo de arquivo que não seja necessário para negócios. Ela também pede que evitem usar as mesmas senhas em diversos serviços, liguem políticas seguras de anexos e que empresas promovam programas de conscientização para que funcionários fiquem atento a e-mails com elementos incomuns de escrita e com endereços suspeitos.

Fonte: Microsoft Security, ZDNet