تقرير: شفرة مورس تساعد مجرمي الإنترنت على تجنب اكتشافهم

أصدرت شركة مايكروسوفت الأمريكية تفاصيل جديدة حول حملة التصيد الاحتيالي التي استخدمت تكتيكات متطورة بما في ذلك استخدام شفرة "مورس" لتجنب الاكتشاف.

خلال التحقيق الذي استمر لمدة عام أجراه باحثون من Microsoft Security Intelligence ، قام مجرمو الإنترنت الذين يقفون وراء الحملة بتغيير آليات التعتيم والتشفير كل 37 يوما في المتوسط لتجنب اكتشاف عملياتهم.

وبحسب ما أورده موقع "techradar"، استخدمت الحملة نفسها ملحق XLS.HTML كفاتورة مقسم إلى عدة أجزاء بما في ذلك ملفات JavaScript المستخدمة لسرقة كلمات المرور التي يتم تشفيرها بعد ذلك باستخدام آليات مختلفة.

وعلى مدار تحقيق مايكروسوفت انتقل المهاجمون من استخدام كود HTML العادي إلى استخدام تقنيات تشفير متعددة بما في ذلك بعض طرق التشفير القديمة وغير العادية مثل Morse code لإخفاء أجزاء الهجوم هذه.

لتجنب المزيد من الاكتشاف، لم تكن بعض أجزاء الكود المستخدمة في الحملة موجودة في المرفق نفسه، وبدلا من ذلك كانت في عدد من الأدلة المفتوحة.

تستخدم حملة التصيد الاحتيالي XLS.HTML الهندسة الاجتماعية لإنشاء رسائل بريد إلكتروني تحاكي مظهر المعاملات التجارية ذات الصلة المالية في شكل إشعارات دفع مزيفة.

وكان الهدف الأساس للحملة جمع بيانات الاعتماد، وإذ كانت في الأصل تحصد أسماء المستخدمين وكلمات المرور، فقد بدأت _أيضا_ في تكرارها الأحدث في جمع معلومات أخرى، مثل: عناوين IP والمواقع التي يستخدمها مجرمو الإنترنت الذين يقفون وراءها كنقطة دخول أولية لمحاولات التسلل اللاحقة.

وعلى الرغم من استخدام XLS في الملف المرفق، لإيهام المتصفحين أنه ملف Excel، فعند فتح المرفق، يتم تشغيل نافذة متصفح بدلا من ذلك تنقل الضحايا المحتملين إلى صفحة تسجيل دخول مزيفة.

يطالب مربع حوار في الصفحة المستخدمين بتسجيل الدخول مرة أخرى حيث يفترض أن وصولهم إلى مستند Excel قد انتهى.

ومع ذلك، إذا قام المستخدم بإدخال كلمة المرور الخاصة به، فسيتلقى بعد ذلك ملاحظة مزيفة تفيد بأن كلمة المرور المقدمة غير صحيحة، بينما تقوم مجموعة التصيد التي يتحكم فيها المهاجم والتي تعمل في الخلفية، بحصد بيانات اعتمادهم.

وبحسب التقرير، فإن ما يميز هذه الحملة هو حقيقة أن مجرمي الإنترنت الذين يقفون وراءها بذلوا جهودا كبيرة لتشفير ملف HTML بهذه الطريقة لتجاوز عناصر التحكم في الأمان.

ويختم التقرير بأنه يجب على المستخدمين تجنب فتح رسائل البريد الإلكتروني من مرسلين غير معروفين خاصة عندما يطلبون منهم تسجيل الدخول إلى خدمة عبر الإنترنت للوصول إلى ملف أو طلب تمكين وحدات الماكرو.