Hace poco se detectó un curioso actor de amenazas que utiliza el código Morse para ocultar URL maliciosas en su forma de phishing así evitar los filtros de seguridad de correo.
El código morse se inventó como una forma de transmitir mensajes a través de cable telegráfico, en el cada letra y número se codifica como una serie de puntos y guiones que representan un sonido corto y uno largo respectivamente, el phishing oculta URL en archivos adjuntos del correo electrónico.
Según investigaciones, no se pudo encontrar referencias al código Morse usado de esta manera en el pasado, por lo que hablamos de una técnica de ofuscación novedosa e ingeniosa.
¿Cómo funciona el ataque?
Comienza como un correo electrónico que parece una factura de la empresa, con títulos cómo: “Ingresos_pago_factura_febrero_miércoles 02/03/2021”
El correo incluye un archivo adjunto HTML que parece ser una factura de Excel, el formato del archivo permite crear nombres dinámicos, que hacen más convincente el engaño: ‘[nombre_empresa] _factura_ [número] ._ xlsx.hTML’
El archivo en realidad es un script que abre una hoja de cálculo falsa y una ventana en donde indica que se agotó el tiempo de inicio de sesión y pide ingresar la contraseña nuevamente, si el usuario ingresa la contraseña se envía a un sitio remoto donde el atacante recopila las credenciales de inicio de sesión.
Al ser una campaña muy dirigida incluso puede existir el logo de la empresa blanco en el correo electrónico.
Hemos hablado mucho últimamente de los ataques de ransomware y su evolución, pero no podemos dejar atrás otros tipos de estafa vigentes en la red, el phishing también está evolucionando y las técnicas del mismo son cada vez más complejas, por ello te recomendamos prestar mucha atención en las URL y los nombres de archivos adjuntos que recibes, incluso aunque parezca un correo legítimo, es importante siempre estar alerta y listos para detectar una amenaza, si algo parece sospechoso, hay que comunicarlo de inmediato a quien corresponda en la organización.
Una recomendación que te hacemos es que las extensiones en tu equipo siempre estén habilitadas de esta forma es posible detectar archivos sospechosos más fácilmente.
No olvides seguirnos en Facebook y LinkedIn para revisar contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.
#NovaInforma
