Utilizando código Morse para ataques de phishing

Estamos en un mundo donde constantemente se evoluciona y es por ello que día a día surgen nuevos métodos de hackeo, entre ellos esta novedosa técnica que utiliza el código Morse para robar credenciales de correo electrónico.

Este novedoso método se descubrió vía Reddit, el cual fue enviado a la popular web de antivirus Virus Total. En resumen, este ataque consiste en un mensaje por correo electrónico en el que contiene un archivo HTML adjunto, el cual se hace pasar por una factura, se hace parecido a un ataque «From The Past».

Este ataque de phishing comienza con un correo electrónico que se hace pasar por una factura de una empresa, donde como ya se ha dicho anteriormente dicho correo tiene . La estructura del archivo adjunto es la siguiente  «[nombre_empresa] _ factura_ [número] ._ xlsx.hTML», en este archivo se incluye JavaScript donde se tiene una función que asigna letras y números al código Morse.

Ejemplo: para la letra «a» se le asigna «.-» y para la letra b se le asigna «-…«, y sucesivamente con las demás letras y posteriormente con los números.

Esto se realiza en una función que lleva por nombre «decodeMorse()», la cual recibe el código Morse. Esta función la decodifica en una cadena hexadecimal, esta a su vez es de nuevo decodificada en etiquetas JavaScript que son inyectadas en la página.

Estos dos script combinados con el archivo HTML adjunto contienen todos los recursos necesarios para generar una hoja de calculo de Excel falsa la cual indica que se agoto el tiempo de inicio de sesión, con lo cual es solicitado de nuevo su contraseña.

Después de que el usuario ingresa de nuevo su contraseña, estas credenciales son enviadas a un servidor remoto donde los atacantes recopilan toda esta información. Para hacer que el formulario de inicio de sesión sea mas convincente utiliza el servicio de logo.clearbit.com para insertar el logotipo de las empresas del destinatario, en caso de no encontrar el logo se utiliza el logo genérico de Office 365.

Algunas de las empresas objetivo de este ataque han sido SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti y Capital Four.

Las estafas de Phishing cada vez se vuelven mas difíciles y complejas de detectar, y a medida las puertas de enlace de los correos electrónicos mejoran la detección de estas.

Como conclusión debemos cuidarnos de enlaces que se crean sospechosos, de igual manera asegurarse que los enlaces son de fuentes confiables, en caso de no estar seguros contactarse con los administradores de la empresa o con los administradores de red. Así de igual manera cuidarnos de archivos con doble extensión como se ha descrito anteriormente.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *