На Reddit возник пост, в каком один из юзеров сказал о необыкновенном методе фишинга. Его сущность заключается в кодировке текста во вредоносном файле с помощью азбуки Морзе с предстоящим декодированием и введением жертвы в заблуждение.
Как пишет SecurityLab кампания носит целенаправленный нрав. Другими словами злоумышленники делают обман наиболее убедительным при помощи логотипов компаний-получателей, взятых в logo.clearbit.com.
На какие этапы разбита атака?
Хакеры посылают электрическое письмо, замаскированное под счёт для компании.
Письмо содержит вложение в формате HTML. При всем этом заглавие файла такое, что его просто перепутать с реальным счётом в Excel: [название_компании] _инвойс_ [номер] ._ xlsx.hTML. В самом файле находится зашифрованный азбукой Морзе код (буковка «a» представлена в виде «.-», буковка «b» — «-…»).
При открытии HTML-файла вызывается функция decodeMorse(), которая конвертирует шифрованный текст в шестнадцатеричную строчку, которая дальше декодируется в теги JavaScript. Они вставляются в HTML-страницу (всё это происходит фактически одномоментно).
В итоге юзер лицезреет поддельную Excel-таблицу с примечанием о истечении времени авторизации. Как юзер повторно вводит свои данные, они отправляются на удалённый сервер, впрямую в руки взломщиков.
Снимок экрана HTML-файла из отправляемого письма
Источник: SecurityLab
Источник: