พบแคมเปญ Phishing ซ่อนลิงก์อันตรายด้วยรหัสมอร์ส

มีการแจ้งเตือนความพยายามทำ Phishing ใหม่ๆ ผ่านผู้ใช้งาน Reddit ว่าพบการแฝงลิงก์อันตรายด้วยรหัสมอร์ส

ผู้เชี่ยวชาญได้ศึกษาตัวอย่างของแคมเปญนี้พบว่าคนร้ายหวังผลกับเป้าหมายองค์กรใหญ่หลายแห่งเช่น SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital และ Equinti ทั้งนี้มีการเขียนหัวเรื่องอีเมลให้น่าดึงดูดด้วยคำว่า ‘invoice’ อย่างไรก็ดีไฟล์แนบอันไม่ปกตินี้จะมีรูปแบบคือ ‘ชื่อบริษัท-invoice-[หมายเลข].xlsx.hTML’

หากเปิด HTML นี้ด้วย Text Editor จะพบกับสคริปต์ JSP ที่มีฟังก์ชันเข้าและถอดรหัสมอร์ส โดยในแคมเปญเป็นการใช้เพื่อเรียกไปยัง URL หลายแห่ง ด้วยจุดประสงค์สุดท้ายคือแสดงหน้าล็อกอินเพื่อจะเปิดเอกสารและบอกว่าการล็อกอินหมดเวลา ซึ่งตรงนี้เองหากเหยื่อหลงเชื่อคนร้ายก็จะได้รับรหัสผ่านของเหยื่อไป นอกจากนี้คนร้ายยังได้ใช้บริการ  logo.clearbit.comservice เพื่อแปะโลโก้บริษัทเข้ามาด้วย แต่หากหาโลโก้ไม่เจอก็จะปรากฎรูป Office 365 มาแทน (สามารถดูภาพประกอบได้ตามด้านล่าง) ด้วยเหตุนี้เองเราก็ขอนำกลเม็ดใหม่ๆ ของคนร้ายมาให้ผู้อ่านติดตามกันเพื่อจะได้รู้เท่าทันครับ

ที่มา : https://www.bleepingcomputer.com/news/security/new-phishing-attack-uses-morse-code-to-hide-malicious-urls/