พบแคมเปญ Phishing ซ่อนลิงก์อันตรายด้วยรหัสมอร์ส

มีการแจ้งเตือนความพยายามทำ Phishing ใหม่ๆ ผ่านผู้ใช้งาน Reddit ว่าพบการแฝงลิงก์อันตรายด้วยรหัสมอร์ส

HTML in text Editor – credit : BleepingComputer

ผู้เชี่ยวชาญได้ศึกษาตัวอย่างของแคมเปญนี้พบว่าคนร้ายหวังผลกับเป้าหมายองค์กรใหญ่หลายแห่งเช่น SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital และ Equinti ทั้งนี้มีการเขียนหัวเรื่องอีเมลให้น่าดึงดูดด้วยคำว่า ‘invoice’ อย่างไรก็ดีไฟล์แนบอันไม่ปกตินี้จะมีรูปแบบคือ ‘ชื่อบริษัท-invoice-[หมายเลข].xlsx.hTML’

หากเปิด HTML นี้ด้วย Text Editor จะพบกับสคริปต์ JSP ที่มีฟังก์ชันเข้าและถอดรหัสมอร์ส โดยในแคมเปญเป็นการใช้เพื่อเรียกไปยัง URL หลายแห่ง ด้วยจุดประสงค์สุดท้ายคือแสดงหน้าล็อกอินเพื่อจะเปิดเอกสารและบอกว่าการล็อกอินหมดเวลา ซึ่งตรงนี้เองหากเหยื่อหลงเชื่อคนร้ายก็จะได้รับรหัสผ่านของเหยื่อไป นอกจากนี้คนร้ายยังได้ใช้บริการ  logo.clearbit.comservice เพื่อแปะโลโก้บริษัทเข้ามาด้วย แต่หากหาโลโก้ไม่เจอก็จะปรากฎรูป Office 365 มาแทน (สามารถดูภาพประกอบได้ตามด้านล่าง) ด้วยเหตุนี้เองเราก็ขอนำกลเม็ดใหม่ๆ ของคนร้ายมาให้ผู้อ่านติดตามกันเพื่อจะได้รู้เท่าทันครับ

credit : BleepingComputer

ที่มา : https://www.bleepingcomputer.com/news/security/new-phishing-attack-uses-morse-code-to-hide-malicious-urls/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

CISA เพิ่มฐานข้อมูลช่องโหว่ที่ถูกใช้งานจริงที่ควรจับตา 17 รายการ

CISA ได้เพิ่มลิสต์รายการของช่องโหว่ 17 รายการ ที่มีการใช้โจมตีจริงและเห็นว่าอาจเป็นอันตรายต่อหน่วยงานรัฐ อย่างไรก็ดีองค์กรก็ควรรับทราบและไม่ละเลยด้วยเช่นกัน

CISA แจกเอกสารแนะนำด้านความมั่งคงปลอดภัยในการใช้งาน IPv6

CISA ได้ออกเอกสารเพื่อให้คำแนะนำแก่หน่วยงานของรัฐเกี่ยวกับประเด็นด้าน Security ของ IPv6