El phishing ha sido y sigue siendo una de las amenazas más recurrentes durante los últimos meses. Multitud de campañas se han ido sucediendo prácticamente todas las semanas con la finalidad de robar las credenciales de acceso a la banca online, obtener contraseñas almacenadas en varias aplicaciones de uso común o instalar malware en el sistema. Las técnicas usadas han sido variadas, pero los delincuentes no dejan de sorprendernos tal y como vamos a comprobar a continuación.
Uso de código morse en ataques de phishing
Según informan desde Bleeping Computer, recientemente se han empezado a detectar correos de phishing con ficheros HTML adjuntos que incluyen enlaces a webs maliciosas y que, como novedad en esta campaña, vienen ofuscados en código morse. Como en muchas otras campañas de phishing, todo empieza con un correo electrónico que simula adjuntar una factura.
La novedad en este caso se encuentra dentro del fichero HTML adjuntado que se hace pasar como factura, fichero que dispone una doble extensión para que el usuario que reciba este correo piense que se trata de un documento de Excel. Además, los delincuentes se han molestado en incluir el nombre de la empresa que recibe este correo en el nombre del fichero adjunto, por lo que el ataque queda más personalizado y puede resultar más efectivo.
Es cuando revisamos el archivo HTML adjunto que observamos algo curioso, como es la traducción a código morse de las letras del alfabeto dentro de una función dedicada precisamente a desofuscar los enlaces maliciosos que están escritos en este código dentro del mismo fichero.
Ejecución del código ofuscado
Cuando se descodifica el código morse que se incluye dentro del archivo HTML se pueden observar dos enlaces a una web que contienen código JavaScript que se inyecta en la página HTML. Este sería otro caso de web legítima que es comprometida por los delincuentes para alojar código malicioso.
Según explican desde Bleeping Computer, estos scripts junto con el archivo HTML adjunto al correo contienen los recursos necesarios para generar un archivo Excel falso junto a una pantalla de acceso a Office 365, que no indica que nuestra sesión ha expirado y es necesario volver a introducir nuestra contraseña.
Parece claro que los delincuentes detrás de esta campaña tienen como finalidad obtener credenciales de acceso a cuentas de Office 365. Un detalle importante es que estas campañas parecen muy dirigidas a ciertas empresas, puesto que además de incluir el nombre de la empresa objetivo en el fichero HTML adjunto, también incluyen el logo de esa misma empresa en la falsa pantalla de acceso a Office 365, lo cual resulta más convincente de cara a los usuarios que reciban este email y decidan abrir el fichero adjunto.
Conclusión
No hay duda de que los delincuentes han ido un paso más allá para tratar de hacer más efectivas sus campañas. Usando una simple pero efectiva técnica de ofuscación intentan que el código utilizado en estos ataques pase desapercibido el mayor tiempo posible, por lo que debemos seguir haciendo hincapié en la necesidad de prestar mucha atención a este tipo de correos sospechosos y sus posibles ficheros adjuntos o enlaces, evitando pulsar sobre ellos o abrirlos salvo que estemos totalmente seguros de que son legítimos.