Для обходу захисних поштових шлюзів і фільтрів автори адресних фішингових листів використовують новаторський спосіб приховування шкідливого вмісту сторінки. Теги JavaScript, впроваджувані в HTML-код, шифруються з використанням азбуки Морзе.
Нова фішингова кампанія стартувала на початку цього місяця. Перші зразки шахрайських вкладень були завантажені на VirusTotal 2 лютого. Підроблені повідомлення замасковані під вимогу оплати послуг від імені певної організації, пише Bleeping Computer.
Прикріплений файл, з огляду на назву, містить рахунок-фактуру, виписаний на ім’я одержувача листа, однак подвійне розширення – ._xlsx.hTML – має відразу насторожити адресата.
Під час перегляду вкладення в текстовому редакторі експерти виявили JavaScript, що зіставляє букви і цифри з символами азбуки Морзе. Цей сценарій розшифровує код “мови”, викликаючи функцію decodeMorse ().
У результаті виходить довжелезний рядок, декодування якого виявляє теги JavaScript, які вставляються в HTML-код сторінки.
Впровадження скриптів у даному випадку забезпечує ресурси, необхідні для рендеринга підробленої таблиці Excel з діалоговим вікном – користувачеві повідомляється, що час авторизації минув і потрібно повторно ввести пароль. Якщо жертва піде за цією вказівкою, дані з форми відправляться на сервер зловмисників.
Для більшої переконливості фішингова сторінка забезпечена логотипом компанії, яку атакують хакери, – шахраї отримують його з сайту logo.clearbit.comservice. Якщо необхідного зображення там немає, вони використовують логотип Office 365.
Дослідникам з Bleeping Computer поки вдалося виявити 11 мішеней поточної фішинговою кампанії: SGS, Dimensional, Metrohm, SBI Mauritius Ltd (підрозділ Державного банку Індії), NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti і Capital Four.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ
Як не стати жертвою кібератаки? ПОРАДИ
Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу
П’ять небезпечних типів файлів, що можуть містити шкідливе ПЗ
Нагадаємо, Apple займається розробкою, яка буде розрізняти користувачів смартфонів за новою технологією. Йдеться про так звану теплову карту особи, яка, як і відбитки пальців, є унікальною. Обдурити цю систему захисту буде практично неможливо.
Також корпорація Microsoft випускає вбудований генератор паролів та функцію моніторингу витоків облікових даних у системах Windows та macOS, що працюють з останньою версією Microsoft Edge.
Окрім цього, багатофункціональний “шкідник” VPNFilter, якому вдалося інфікувати 500 тисяч роутерів у 54 країнах, хоч і був дезактивований два роки тому, однак досі не вичищений із сотень мереж. Такі невтішні результати чергової перевірки, яку провели дослідники з Trend Micro.
До речі, викрадена база даних, яка містить імена, адреси електронної пошти та паролі користувачів Nitro PDF, безкоштовно розповсюджується в Мережі. Загалом база даних налічує понад 77 мільйонів записів.
