信息化觀察網(wǎng)

事件概述

近期，網(wǎng)絡安全研究人員發(fā)現(xiàn)了一種利用摩斯密碼來執(zhí)行攻擊的新型網(wǎng)絡釣魚活動。在這種網(wǎng)絡釣魚攻擊活動中，攻擊這種使用了一種新型的模糊處理技術，即利用摩斯密碼來隱藏電子郵件附件中的惡意URL地址。

關于摩斯密碼

眾所周知，塞繆爾·莫爾斯（Samuel Morse）和阿爾弗雷德·維爾（Samuel Morse）與1837年發(fā)明的，是一種早期的數(shù)字化通信形式。摩斯密碼作為一種通過電報線傳輸信息的方式，當使用摩斯密碼時，不同于現(xiàn)代化的數(shù)字通訊，摩爾斯電碼只使用零和一兩種狀態(tài)的二進制代碼，它的代碼包括五種：短促的點信號“?”，讀“滴”（Di）保持一定時間的長信號“—”，讀“嗒”（Da）表示點和劃之間的停頓、每個詞之間中等的停頓，以及句子之間長的停頓。

新型摩斯密碼釣魚攻擊

但是從上個禮拜開始，有網(wǎng)絡犯罪分子竟然開始利用摩斯密碼在他們的網(wǎng)絡釣魚攻擊活動中隱藏惡意網(wǎng)址，以繞過安全郵件網(wǎng)關和郵件過濾器的檢測。

據(jù)我們目前所知，此前貌似并沒有出現(xiàn)過任何應用了摩斯密碼的網(wǎng)絡釣魚攻擊活動，因此這種方式也可以算是一種新型的模糊處理技術了。

此從研究人員從Reddit上的一個帖子首次了解到這種攻擊之后，我們能夠找到自2021年2月2日以來上傳到VirusTotal的大量目標攻擊樣本。

這一次的網(wǎng)絡釣魚攻擊活動從一封偽裝成公司票據(jù)的電子郵件開始，郵件主題為'Revenue_payment_invoice February_Wednesday 02/03/2021.'（收入_付款_票據(jù)2月2日2021年3月2日星期三）。

這封釣魚郵件中包含了一個HTML附件，其名稱看起來像是公司的Excel票據(jù)。這些附件以“[company_name]_invoice_[number]._xlsx.hTML.”（[公司名稱]_票據(jù)_[編號]._xlsx.hTML）的方式命名。

比如說，假設攻擊對象是Freebuf的話，那么釣魚郵件中的附件名稱就會變成“Freebuf_票據(jù)_1308._xlsx.hTML”。

使用文本編輯器查看附件內(nèi)容時，我們可以看到附件中包含將字母和數(shù)字映射為摩爾斯電碼的JavaScript代碼。比如說，將字母“a”映射為“.-”，字母“b”映射為“-…”，HTML釣魚附件中的源代碼如下所示：

接下來，腳本會調(diào)用decodeMorse()函數(shù)來將摩斯密碼字符串解碼為十六進制字符串。這個十六進制字符串會被進一步解碼為JavaScripti標簽，并被注入至HTML頁面中：

這些被注入的腳本將與HTML附件捆綁在一起，并使用各種必要的資源來給目標用戶呈現(xiàn)一個偽造的Excel電子表格，并在表格中告知用戶登錄超時，并要求用戶再次輸入Office的登錄密碼：

當用戶輸入自己的密碼之后，表單就會將密碼提交至攻擊者控制的遠程站點，并完成登錄憑證的收集。

這一次的網(wǎng)絡攻擊活動極具針對性，攻擊者使用了logo.clearbit.comservice來向登錄表單中注入目標用戶所在公司的圖標，使其更具說服力。如果公司圖標不可用的話，則會改為使用通用的Office 365圖標。

研究人員通過分析后發(fā)現(xiàn)，目前已有11家公司成為了此次網(wǎng)絡釣魚攻擊的目標，包括SGS、Dimensional、Metrohm、SBI（Mauritius）Ltd、NUOVO Imie、普利司通、Cargeas、ODDO BHF Asset Management、Dea Capital、Equinti和Capital Four。

后話

隨著技術的進步，郵件網(wǎng)關針對惡意電子郵件的檢測能力越來越強，但網(wǎng)絡釣魚攻擊活動的復雜程度也越來越高。

因此，在提交任何信息之前，每個用戶都必須密切關注跟郵件相關的URL地址和附件名稱。如果發(fā)現(xiàn)任何可疑的東西，收件人應該立刻聯(lián)系他們的網(wǎng)絡管理員以進行進一步調(diào)查。

由于在此次網(wǎng)絡釣魚攻擊活動中，惡意電子郵件使用的是具有雙擴展名（xlxs和HTML）的附件，因此廣大用戶可以通過啟用Windows文件擴展名來輕松發(fā)現(xiàn)并識別可疑附件。