Microsoft는 . 파일에 대한 새로운 세부 정보를 발표했습니다. 피싱 캠페인 의 사용을 포함한 정교한 전술을 사용하는 모스 식 부호 탐지를 피하기 위해.
의 연구자들이 수행한 1년 동안의 조사에서 마이크로소프트 보안 인텔리전스캠페인 배후의 사이버 범죄자들은 자신의 작업이 탐지되지 않도록 평균 37일마다 난독화 및 암호화 메커니즘을 변경했습니다.
캠페인 자체는 파일을 포함하여 여러 섹션으로 나누어진 인보이스 테마 XLS.HTML 첨부 파일을 사용했습니다. 자바스크립트 암호를 훔치는 데 사용되는 파일은 다양한 메커니즘을 사용하여 암호화됩니다. Microsoft의 조사 과정에서 공격자는 일반 텍스트 HTML 코드를 사용하는 것에서 새로운 시스템에서 이러한 공격 부분을 마스킹하기 위해 모스 코드와 같은 일부 오래되고 특이한 암호화 방법을 포함한 다양한 코딩 기술을 사용하는 방법으로 전환했습니다. 블로그 포스트.
추가 발견을 피하기 위해 캠페인에 사용된 코드의 일부는 시설 자체에도 없었고 대신 여러 공개 디렉토리에 있었습니다.
가짜 푸시 알림
피싱 캠페인은 XLS.HTML 파일을 사용합니다. 사회 공학 가짜 푸시 알림의 형태로 금융 관련 비즈니스 거래의 모양을 모방한 이메일을 생성합니다.
캠페인의 주요 목표는 수확 자격 증명 그리고 원래 사용자 이름과 비밀번호를 수집했지만 최근의 반복 작업에서는 그 뒤에 있는 사이버 범죄자가 후속 침입 시도의 초기 진입점으로 사용하는 IP 주소 및 위치와 같은 다른 정보도 수집하기 시작했습니다.
XLS는 첨부 파일에 사용되어 사용자에게 Excel 파일을 예상하도록 유도하지만 첨부 파일을 열면 파일이 재생됩니다. 브라우저 대신 잠재적인 희생자를 가짜 사진으로 만듭니다. 마이크로소프트 오피스 365 로그인 페이지. 페이지의 대화 상자는 Excel 문서에 대한 액세스가 만료되었다고 가정하므로 사용자에게 다시 로그인하라는 메시지를 표시합니다. 그러나 사용자가 암호를 입력하면 백그라운드에서 실행되는 공격자가 제어하는 피싱 그룹이 자격 증명을 수집하는 동안 제공된 암호가 정확하지 않다는 가짜 메모를 받게 됩니다.
이 캠페인을 차별화하는 점은 배후의 사이버 범죄자들이 보안 제어를 우회하기 위해 이러한 방식으로 HTML 파일을 암호화하기 위해 많은 시간을 보냈다는 사실입니다. 항상 그렇듯이 사용자는 특히 온라인 서비스에 로그인하여 파일에 액세스하거나 매크로를 활성화하도록 요청해야 하는 경우 알 수 없는 발신자의 이메일을 열지 않아야 합니다.
“트위터를 통해 다양한 주제에 대한 생각을 나누는 아 동율은 정신적으로 깊이 있습니다. 그는 맥주를 사랑하지만, 때로는 그의 무관심함이 돋보입니다. 그러나 그의 음악에 대한 열정은 누구보다도 진실합니다.”