El equipo de inteligencia de amenazas de Microsoft realizo una investigación que perduro un año que trataba de una campaña de phishing, donde los atacantes utilizaban varias técnicas de ofuscación y encriptación aproximadamente cada 37 días.
Según los investigadores el objetivo de esta campaña era recopilar nombre de usuario, contraseña y en su versión más reciente dirección IP y la ubicación, donde los atacantes utilizan esta información como punto de entrada inicial para intentar la infiltración posterior.
“La campaña de phishing XLS.HTML utiliza la ingeniería social para crear correos electrónicos que imitan las transacciones comerciales regulares relacionadas con las finanzas, específicamente enviando lo que parece ser un aviso de pago de un proveedor,” informo Microsoft.
Estos archivo adjuntos HTML se divide en varios segmentos, que luego se codifican utilizando varios mecanismos de codificación.
- Segmento 1: Dirección de correo electrónico del objetivo
- Segmento 2: Logotipo de la organización del usuario objetivo, si el logotipo no está disponible, este segmento carga el logotipo de Microsoft Office 365 en su lugar.
- Segmento 3: Una secuencia de comandos que carga una imagen de un documento borroso, lo que indica que el inicio de sesión supuestamente ha agotado el tiempo de espera.
- Segmento 4: una secuencia de comandos que solicita al usuario que ingrese su contraseña, envía la contraseña ingresada a un kit de phishing remoto y muestra una página falsa con un mensaje de error para el usuario.
Los ataques periódicamente cambiaban sus métodos de codificación para evadir las tecnologías de seguridad. A continuación, se desglosa la cronología de los mecanismos que utilizaron los atacantes desde julio 2020 hasta julio 2021.
Una técnica de ofuscación inusual que se utilizó fue el uso de código Morse detectado en las oleadas de febrero y mayo. En febrero los archivos JavaScript se codificaron utilizando ASCII y luego Morse. Mientras la oleada de mayo el nombre del dominio malicioso de phishing se codificó en Escape.
La oleada de julio de 2021, una vez que el usuario ingresa su contraseña en el kit de phishing era dirigido al sitio legítimo de oficina de 365, a diferencia de otras oleadas que aparecía un mensaje de error.
