Uzmanlar, bir e-posta ekindeki kötü amaçlı URL’leri gizlemek ve güvenli posta ağ geçitlerini ve posta filtreleme sistemlerini atlamak için Mors koduna dayalı yeni bir gizleme tekniğinden yararlanan yeni bir hedefli kimlik avı kampanyası tespit ettiler.
Siber korsanların, e-posta sağlayıcısının güvenlik önlemlerini atlamak için bu Mors kodu tabanlı tekniği kullandıkları, bu şekilde kötü amaçlı bağlantıları gizleyebildikleri ve filtrelerden kaçınabildikleri belirlendi.
Siber korsanların, öncelikle hedefteki kişiye bir ‘gelir faturası’ gibi görünecek şekilde tasarlanmış HTML eki içeren bir e-posta gönderdikleri belirleniyor. Çoğu e-posta güvenlik çözümü normalde böyle bir belgeyi alır, ancak bu sefer HTML dosyasındaki komut dosyasının Mors alfabesiyle ile yazıldığı görülüyor. Söz konusu HTML dosyası içerisinde de sahte bir Office 365 girişi olduğu tespit ediliyor. Hedef alınan kişi bu dosyayı açmaya çalıştığında, internet tarayıcısında Excel ara yüzüne benzer bir görüntü ile kişiden şifresini göndermesini isteyen bir açılır pencere belirir. Böylece bu şifre ele geçirilir ve saldırganlar tarafından verilerin toplandığı sunucuya gönderilir.
Yeni Mors kodu kimlik avı saldırısı
Mors kodu, her harf ve sayıyı bir dizi nokta ve çizgi halinde kodlar.
Haberi ilk bildiren Bleeping Computer, tehdit aktörlerinin kimlik avında kötü amaçlı URL’ler için Mors kodlamasını kullanmaya başladığını ilk kez doğruladı.
Reddit üzerinde yapılan bir paylaşımda tekniğin detayları paylaşıldı. Araştırmacıları Şubat başından bu yana VirusTotal yüklenme bu oltalama kampanyasına katılan çok sayıda örnekleri bulmak mümkün olduğunu belirtiyorlar.
Kampanya ‘Revenue_payment_invoice Şubat_Çarşamba 02/03/2021’ konusuyla kullanıyor. HTML eki bir Excel faturası gibi görünüyor, kullanılan adlandırma kuralı “[şirket_adı] _invoice_ [numara] ._ xlsx.hTML.”
HTML kodu, Mors kodlama / kod çözme işlemlerini uygulayan bir JavaScript içeriyor.
Komut dosyası, yeni kimlik avı tekniğini uygulamak için hem morseCode () hem de morseDecode () işlevlerini içerir. Kodlanmış URL’ye karşılık gelen onaltılık dizenin kodu, HTML sayfasına enjekte edilen JavaScript etiketlerine dönüştürülür.
Çözülmüş JavaScript etiketleri
“HTML ekiyle birleştirilmiş bu enjekte edilen komut dosyaları, oturum açma işlemlerinin zaman aşımına uğradığını belirten ve şifrelerini tekrar girmelerini isteyen sahte bir Excel elektronik tablosu oluşturmak için gerekli çeşitli kaynakları içerir.”
Bir kullanıcı parolasını girdiğinde, form parolayı saldırganların oturum açma kimlik bilgilerini toplayabileceği uzak bir siteye gönderir.
Bu kampanya, tehdit aktörünün logo.clearbit.comservice’i kullanarak alıcının şirketlerinin logolarını giriş formuna ekleyerek daha ikna edici hale getirmesiyle hedeflendi. Bir logo yoksa, yukarıdaki resimde gösterildiği gibi genel Office 365 logosunu kullanır.
BleepingComputer, SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equiniti ve Capital Four dahil olmak üzere bu kimlik avı saldırısının hedef aldığı şirketler.
Posta ağ geçitleri kötü amaçlı e-postaları tespit etmede daha iyi hale geldikçe, kimlik avı dolandırıcılıkları her geçen gün daha karmaşık hale geliyor.
Bu nedenle, herhangi bir bilgi göndermeden önce herkesin URL’lere ve ek adlarına çok dikkat etmesi gerekir. Herhangi bir şey şüpheli görünüyorsa, alıcılar daha fazla araştırma yapmak için ağ yöneticileriyle iletişime geçmelidir.
Bu kimlik avı e-postası, çift uzantılı ekler (xlxs ve HTML) kullandığından, şüpheli ekleri tespit etmeyi kolaylaştırmak için Windows dosya uzantılarının etkinleştirildiğinden emin olmak önemlidir .
