На Reddit появился пост, в котором один из пользователей рассказал о необычном способе фишинга. Его суть заключается в кодировании текста во вредоносном файле при помощи азбуки Морзе с дальнейшим декодированием и введением жертвы в заблуждение.
Как пишет SecurityLab кампания носит целенаправленный характер. То есть злоумышленники делают обман более убедительным с помощью логотипов компаний-получателей, взятых в logo.clearbit.com.
На какие этапы разбита атака?
Хакеры отправляют электронное письмо, замаскированное под счёт для компании.
Письмо содержит вложение в формате HTML. При этом название файла такое, что его легко перепутать с настоящим счётом в Excel: [название_компании] _инвойс_ [номер] ._ xlsx.hTML. В самом файле находится зашифрованный азбукой Морзе код (буква «a» представлена в виде «.-», буква «b» — «-…»).
При открытии HTML-файла вызывается функция decodeMorse(), которая преобразует шифрованный текст в шестнадцатеричную строку, которая далее декодируется в теги JavaScript. Они вставляются в HTML-страницу (всё это происходит практически мгновенно).
В итоге пользователь видит поддельную Excel-таблицу с примечанием о истечении времени авторизации. Как только пользователь повторно вводит свои данные, они отправляются на удалённый сервер, напрямую в руки хакеров.
Скриншот HTML-файла из отправляемого письма
Источник: SecurityLab
Источник: