New phishing attack uses Morse code to hide malicious URLs
تتضمن حملة التصيد الاحتيالي المستهدفة الجديدة تقنية التعتيم الجديدة المتمثلة في استخدام شفرة مورس Morse code لإخفاء عناوين URL الضارة في مرفق بريد إلكتروني.
ابتكر Samuel Morse وAlfred Vail كود مورس كوسيلة لنقل الرسائل عبر سلك التلغراف. عند استخدام شفرة مورس، يتم ترميز كل حرف ورقم على شكل سلسلة من النقاط (صوت قصير) وشرطات (صوت طويل).
بدءًا من الأسبوع الماضي، بدأ أحد الفاعلين في التهديد باستخدام شفرة مورس لإخفاء عناوين URL الضارة في نموذج التصيد الخاص بهم لتجاوز بوابات البريد الآمنة وعوامل تصفية البريد.
لم يتمكن الكمبيوتر من العثور على أي إشارات إلى شفرة مورس المستخدمة في هجمات التصيد في الماضي، مما يجعل هذه تقنية تشويش جديدة
ابتكر Samuel Morse وAlfred Vail كود مورس كوسيلة لنقل الرسائل عبر سلك التلغراف. عند استخدام شفرة مورس، يتم ترميز كل حرف ورقم على شكل سلسلة من النقاط (صوت قصير) وشرطات (صوت طويل).
بدءًا من الأسبوع الماضي، بدأ أحد الفاعلين في التهديد باستخدام شفرة مورس لإخفاء عناوين URL الضارة في نموذج التصيد الخاص بهم لتجاوز بوابات البريد الآمنة وعوامل تصفية البريد.
لم يتمكن الكمبيوتر من العثور على أي إشارات إلى شفرة مورس المستخدمة في هجمات التصيد في الماضي، مما يجعل هذه تقنية تشويش جديدة
هجوم شفرة مورس التصيدي الجديد The novel Morse code phishing attack
بعد معرفة هذا الهجوم لأول مرة من منشور على Reddit، تمكنت BleepingComputer من العثور على العديد من عينات الهجوم المستهدف التي تم تحميلها على VirusTotal منذ 2 فبراير 2021.
يبدأ هجوم الخداع برسالة بريد إلكتروني تتظاهر بأنها فاتورة للشركة بعنوان بريد مثل "Revenue_payment_invoice February_Wednesday 02/03/2021".
يتضمن هذا البريد الإلكتروني مرفقًا بتنسيق HTML تمت تسميته بطريقة تبدو وكأنها فاتورة Excel للشركة. تمت تسمية هذه المرفقات بالتنسيق "[company_name]_invoice_[number]._xlsx.hTML"
عند عرض المرفق في محرر نصوص، يمكنك أن ترى أنها تتضمن JavaScript يقوم بتعيين الأحرف والأرقام إلى شفرة مورس. على سبيل المثال، تم تعيين الحرف "a" إلى ".-" وتم تعيين الحرف "b" إلى "-..."، كما هو موضح أدناه.
عند عرض المرفق في محرر نصوص، يمكنك أن ترى أنها تتضمن JavaScript يقوم بتعيين الأحرف والأرقام إلى شفرة مورس. على سبيل المثال، تم تعيين الحرف "a" إلى ".-" وتم تعيين الحرف "b" إلى "-..."، كما هو موضح أدناه.
ثم يستدعي البرنامج النصي decodeMorse() function لفك تشفير سلسلة شفرة مورس إلى سلسلة سداسية عشرية. يتم أيضًا فك تشفير هذه السلسلة السداسية العشرية في علامات JavaScript التي يتم حقنها في صفحة HTML.
تحتوي هذه البرامج النصية التي تم حقنها جنبًا إلى جنب مع مرفق HTML على العديد من الموارد اللازمة لعرض جدول بيانات Excel مزيف يوضح انتهاء مهلة تسجيل الدخول ويطالبهم بإدخال كلمة المرور مرة أخرى.
بمجرد أن يقوم المستخدم بإدخال كلمة المرور الخاصة به، سيقوم النموذج بإرسال كلمة المرور إلى موقع بعيد حيث يمكن للمهاجمين جمع بيانات اعتماد تسجيل الدخول.
هذه الحملة مستهدفة بشكل كبير، حيث يستخدم الفاعل المسئول خدمة logo.clearbit.com لإدراج شعارات لشركات المستلم في نموذج تسجيل الدخول لجعله أكثر إقناعًا. إذا لم يكن الشعار متاحًا، فإنه يستخدم شعار Office 365 العام، كما هو موضح في الصورة أعلاه.
شهد BleepingComputer أحد عشر شركة مستهدفة من قبل هجوم التصيد هذا، بما في ذلك SGS و Dimensional و Metrohm و SBI (Mauritius) Ltd و NUOVO IMAIE و Bridgestone و Cargeas و ODDO BHF Asset Management و Dea Capital و Equinti و Capital Four.
أصبحت عمليات التصيد الاحتيالي أكثر تعقيدًا كل يوم حيث أصبحت بوابات البريد أفضل في اكتشاف رسائل البريد الإلكتروني الضارة.
لهذا السبب، يجب على الجميع الانتباه جيدًا لعناوين URL وأسماء المرفقات قبل إرسال أي معلومات. إذا كان هناك شيء ما يبدو مريبًا، فيجب على المستلمين الاتصال بمسئولي الشبكة لديهم لمزيد من التحقيق.
نظرًا لأن البريد الإلكتروني المخادع يستخدم مرفقات ذات امتداد مزدوج (xlxs و HTML)، فمن المهم التأكد من تمكين امتدادات ملفات Windows لتسهيل اكتشاف المرفقات المشبوهة.
هذه الحملة مستهدفة بشكل كبير، حيث يستخدم الفاعل المسئول خدمة logo.clearbit.com لإدراج شعارات لشركات المستلم في نموذج تسجيل الدخول لجعله أكثر إقناعًا. إذا لم يكن الشعار متاحًا، فإنه يستخدم شعار Office 365 العام، كما هو موضح في الصورة أعلاه.
شهد BleepingComputer أحد عشر شركة مستهدفة من قبل هجوم التصيد هذا، بما في ذلك SGS و Dimensional و Metrohm و SBI (Mauritius) Ltd و NUOVO IMAIE و Bridgestone و Cargeas و ODDO BHF Asset Management و Dea Capital و Equinti و Capital Four.
أصبحت عمليات التصيد الاحتيالي أكثر تعقيدًا كل يوم حيث أصبحت بوابات البريد أفضل في اكتشاف رسائل البريد الإلكتروني الضارة.
لهذا السبب، يجب على الجميع الانتباه جيدًا لعناوين URL وأسماء المرفقات قبل إرسال أي معلومات. إذا كان هناك شيء ما يبدو مريبًا، فيجب على المستلمين الاتصال بمسئولي الشبكة لديهم لمزيد من التحقيق.
نظرًا لأن البريد الإلكتروني المخادع يستخدم مرفقات ذات امتداد مزدوج (xlxs و HTML)، فمن المهم التأكد من تمكين امتدادات ملفات Windows لتسهيل اكتشاف المرفقات المشبوهة.