Les chercheurs en sécurité de Microsoft viennent de décortiquer une campagne de phishing par e-mail plutôt sophistiquée qui tente de piéger les utilisateurs d’Office 365 avec un document HTML vérolé.
Le nom du document prend l’apparence d’un fichier de tableur XLS. Si on clique dessus, le navigateur web s’ouvre et affiche une fenêtre d’authentification avec l’image d’un document Excel en arrière-plan. Évidemment, il ne faut absolument pas renseigner ses identifiants dans cette boîte de dialogue.
La partie intéressante de cette attaque est invisible à l’utilisateur. Le document HTML contient quatre parties : l’adresse e-mail de l’utilisateur, le logo de l’entreprise ciblée, un code JavaScript pour charger l’image Excel et un code JavaScript pour gérer la boîte de dialogue (phishing kit).
Au début de la campagne, ces éléments figuraient directement dans le document en clair. Mais progressivement, les pirates ont commencé à les encoder tout en déportant les codes JavaScript vers des serveurs. L’objectif est évidemment de rester sous les radars des antivirus.
En l’espace d’un an, les pirates ont changé neuf fois de méthodes d’encodage. Ils se sont appuyés sur le traditionnel Base64, les séquences d’échappement Unicode et… du code Morse.
« Le code Morse est une méthode d’encodage ancienne et inhabituelle qui utilise des tirets et des points pour représenter les caractères. Ce mécanisme a été observé lors des vagues de février et de mai 2021. Dans l’itération de février, les liens vers les fichiers JavaScript ont été encodés en ASCII puis en code Morse. Puis en mai, le nom de domaine de l’URL du kit de phishing a été encodé dans Escape avant que l’intégralité du code HTML ne soit encodée à l’aide du code Morse», expliquent les chercheurs de Microsoft.
Cette analyse montre une fois de plus que les pirates sont sans cesse en train d’expérimenter de nouvelles méthodes pour tromper leurs adversaires et arriver à leurs fins. C’est pourquoi il ne faut pas se reposer entièrement sur les outils de détection. Chaque utilisateur doit également développer une vigilance propre pour ne pas tomber dans ce genre de panneau.
Source: Microsoft
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.