La dissimulation de codes et liens malveillants est devenue le jeu - et de plus en plus le gagne-pain - favori des cyberpirates à l'échelle mondiale. En effet, plus ils sont cachés, mieux le piège d'une attaque réussie de phishing, par exemple, pourra se refermer sur sa victime. Et justement, voici une dernière technique d'obfuscation de codes malveillants que des pirates ont utilisée, aussi originale que semble-t-il efficace : le code morse.
En recourant au code morse dans le fichier HTML piégé en pièce jointe d'un message de phishing, le but pour les pirates est simple, passer sous le radar des outils de filtrage de sécurité des messageries. La cinématique d'attaque est cependant toujours la même : envoi d'un message d'hameçonnage avec, en pièce jointe, une facture à payer dont l'objet est de type : societe_invoice_numéro._xlsx.hTML. Lorsque vous affichez la pièce jointe dans un éditeur de texte, vous pouvez voir qu'elle inclut du JavaScript qui mappe les lettres et les chiffres au code morse. Par exemple, la lettre «a» est mappée sur «.-» et la lettre «b» est mappée sur «-...», explique BleepingComputer. Le script appelle ensuite une fonction decodeMorse pour décoder une chaîne de code Morse en une chaîne hexadécimale. Cette dernière est ensuite décodée en balises JavaScript qui sont injectées dans la page HTML.
Un tableur Excel piégé donnant l'illusion du vrai
Ce faisant, toutes les pièces du puzzle sont réunies pour combiner ensuite le script en question avec le contenu de la pièce jointe HTML donnant naissance à un faux tableur Excel depuis lequel les identifiants utilisateur et mot de passe sont demandés. La suite coule de source : ainsi volés, les identifiants servent ensuite aux pirates pour accomplir leurs méfaits (vol de données, usurpation d'identité, infection de fichiers...). Cette campagne de phishing utilise logo.clearbit.comservice pour insérer des logos détournés Microsoft et Office sur la fausse page d'identification pour paraitre plus crédible. Il faudra donc redoubler de vigilance. Parmi les entreprises ciblées par cette cyberattaque, on trouve SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti, et Capital Four.