Хакеры использовали азбуку Морзе для массовой кражи паролей

На Reddit появился пост, в котором один из пользователей рассказал о необычном способе фишинга. Его суть заключается в кодировании текста во вредоносном файле при помощи азбуки Морзе с дальнейшим декодированием и введением жертвы в заблуждение.

Как пишет SecurityLab кампания носит целенаправленный характер. То есть злоумышленники делают обман более убедительным с помощью логотипов компаний-получателей, взятых в logo.clearbit.com.

На какие этапы разбита атака?

1. Хакеры отправляют электронное письмо, замаскированное под счёт для компании.
2. Письмо содержит вложение в формате HTML. При этом название файла такое, что его легко перепутать с настоящим счётом в Excel: [название_компании] _инвойс_ [номер] ._ xlsx.hTML. В самом файле находится зашифрованный азбукой Морзе код (буква «a» представлена в виде «.-», буква «b» — «-…»).
3. При открытии HTML-файла вызывается функция decodeMorse(), которая преобразует шифрованный текст в шестнадцатеричную строку, которая далее декодируется в теги JavaScript. Они вставляются в HTML-страницу (всё это происходит практически мгновенно).
4. В итоге пользователь видит поддельную Excel-таблицу с примечанием о истечении времени авторизации. Как только пользователь повторно вводит свои данные, они отправляются на удалённый сервер, напрямую в руки хакеров. 

Скриншот HTML-файла из отправляемого письма

Источник: SecurityLab