Passer au contenu

Pour rester sous les radars, ces pirates utilisent… le morse

Le code malveillant contenu dans les pièces jointes vérolées est souvent encodé pour ne pas être détecté. Et les pirates n’hésitent pas à utiliser des méthodes anciennes et inhabituelles pour échapper aux antivirus.

Les chercheurs en sécurité de Microsoft viennent de décortiquer une campagne de phishing par e-mail plutôt sophistiquée qui tente de piéger les utilisateurs d’Office 365 avec un document HTML vérolé.

Le nom du document prend l’apparence d’un fichier de tableur XLS. Si on clique dessus, le navigateur web s’ouvre et affiche une fenêtre d’authentification avec l’image d’un document Excel en arrière-plan. Évidemment, il ne faut absolument pas renseigner ses identifiants dans cette boîte de dialogue.

Microsoft

La partie intéressante de cette attaque est invisible à l’utilisateur. Le document HTML contient quatre parties : l’adresse e-mail de l’utilisateur, le logo de l’entreprise ciblée, un code JavaScript pour charger l’image Excel et un code JavaScript pour gérer la boîte de dialogue (phishing kit).

Au début de la campagne, ces éléments figuraient directement dans le document en clair. Mais progressivement, les pirates ont commencé à les encoder tout en déportant les codes JavaScript vers des serveurs. L’objectif est évidemment de rester sous les radars des antivirus.

Microsoft

En l’espace d’un an, les pirates ont changé neuf fois de méthodes d’encodage. Ils se sont appuyés sur le traditionnel Base64, les séquences d’échappement Unicode et… du code Morse.

« Le code Morse est une méthode d’encodage ancienne et inhabituelle qui utilise des tirets et des points pour représenter les caractères. Ce mécanisme a été observé lors des vagues de février et de mai 2021. Dans l’itération de février, les liens vers les fichiers JavaScript ont été encodés en ASCII puis en code Morse. Puis en mai, le nom de domaine de l’URL du kit de phishing a été encodé dans Escape avant que l’intégralité du code HTML ne soit encodée à l’aide du code Morse», expliquent les chercheurs de Microsoft.

Morse

Cette analyse montre une fois de plus que les pirates sont sans cesse en train d’expérimenter de nouvelles méthodes pour tromper leurs adversaires et arriver à leurs fins. C’est pourquoi il ne faut pas se reposer entièrement sur les outils de détection. Chaque utilisateur doit également développer une vigilance propre pour ne pas tomber dans ce genre de panneau.

Source: Microsoft

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Gilbert KALLENBORN
Sur le même sujet
Les dernières actualités
Cnil Alerte Fuite Données
Explosion des vols de données : la CNIL s’attend à une année record pour la France
Tiktok Lite 3
TikTok Lite suspend son programme de rémunération de l’addiction
Pixel Tablet
Bientôt un prix plus bas et de nouveaux accessoires pour la tablette Pixel ?
Whatsapp Cadenas
WhatsApp active la protection Passkeys sur iOS
Siri Ia Apple
Les nouveaux modèles IA d’Apple pourraient bien trouver une place dans l’iPhone
01net Morning
01net morning : droit à la réparation étendue en Europe, nouvelle Model 3 Performance, fin de la surtaxe des appels vers l’UE
Google Podcasts
Google Podcasts rejoindra le grand cimetière de Google le 23 juin
Chatgpt Invoquer Gpt Personnalisé
Plus inquiets qu’ailleurs par l’IA générative, les Français utilisent peu ChatGPT
Top téléchargements