Morsecode-Malware von Microsofts 365 Defender Threat Intelligence Team entdeckt

Microsoft hat eine Analyse einer Malware veröffentlicht, die Morsecode und andere Taktiken im Rahmen ihrer Phishing-Kampagne verwendet.

Morsecode
Bildquelle: izanbar

Das Microsoft 365 Defender Threat Intelligence Team hat kürzlich eine Analyse von Malware veröffentlicht, die Morsecode und andere Verschleierungstaktiken im Rahmen ihrer Phishing-Kampagne verwendet.

Malware versucht sich mit verschiedensten Mitteln vor Anti-Viren-Software und anderen Schutzmechanismen zu verstecken. Beispielsweise kombinierte Zloader Word und Exceldokumente mit Makros, die den eigentlichen Schadcode erst nachträglich herunterluden.

Morsecode Malware verschleiert Dateiendung

Die Malware verwendet in ihren Mails doppelte Dateiendungen wie „.XLS.HTML“, um dem Nutzer vorzugaukeln, es würde sich dabei eine Exceldatei im Anhang befinden. Hintergrund ist, dass Windows bekannte Dateiendungen vor dem Nutzer versteckt. Es ist daher auf jeden Fall empfehlenswert, sich die Dateiendungen immer anzeigen zu lassen.

Beispiele aus der freien Wildbahn der Morsecode Malware

  • xls.HTML
  • xslx.HTML
  • Xls.html
  • .XLS.html
  • xls.htM
  • xsl_x.h_T_M_L
  • .xls.html
  • ._xslx.hTML
  • ._xsl_x.hTML
  • xls.htML
  • xls.HtMl

HTML-Webseite zeigt angebliche Exceldatei mit Login-Screen

Öffnet der unbedarfte Nutzer die vermeintliche Exceldatei, bekommt der Nutzer infolge eine verschwommene Exceldatei im Browser zu Gesicht. Diese wird durch einen Login-Screen im Stil von Microsoft Office 365 überlagert. Unter Umständen wird dort noch das Unternehmenslogo des Ziels eingesetzt. Gibt der Nutzer dort sein Kennwort ein, erhält er nur den Hinweis, dass das Kennwort falsch gewesen sei. In späteren Versionen wurde der Nutzer dann einfach auf Office.com umgeleitet, damit dieser keinen Verdacht schöpft.

Die HTML-Datei selbst ist in vier Segmente unterteilt

  1. E-Mail-Adresse des Opfers
  2. Logo der Zielfirma aus den Domains logo[.]clearbit[.]com, i[.]gyazo[.]com, oder api[.]statvoo[.]com
  3. Skript, welches ein Bild eines unscharfen Dokuments lädt, und einen Login-Timeout ausgibt.
  4. Skript, welches den Nutzer zur Eingabe seines Passworts auffordert und dies an den Angreifer übermittelt.

Datenübertragung zum Beispiel per Morsecode, Base64, ASCII oder HTML-Encoding

Seit Juli 2020 hat die Phishing-Kampagne Gebrauch von verschiedensten Verschleierungsmethoden gemacht. Dazu gehört Morsecode, Base64, ASCII oder HTML-Encoding. Durch die regelmäßige und dynamische Veränderung ist es für automatisierte Mechanismen schwer, die Attacke zuverlässig zu erkennen.

Das Microsoft 365 Defender Threat Intelligence Team beschreibt Gegenmaßnahmen auf verschiedenen Ebenen. Dazu gehört zum Beispiel das Herausfiltern von Mails mit doppelten Dateiendungen oder HTML-Dateien im Anhang. Außerdem wird die Aktivierung von der sogenannten Multi-Faktor-Authentifizierung (MFA) empfohlen. Dadurch kann ein Angreifer selbst mit einem aktuellen Passwort nichts mehr ausrichten, da zum Beispiel zum Einloggen noch ein zweites temporäres Passwort per SMS an den Nutzer versandt wird, auf die ein Angreifer keinen Zugang hätte.

Rootkit, Hacker, FiveSys

Lesen Sie auch

Spam und Phishing

Jeder hat schon einmal eine Spam-Mail vom Nigerianischen Prinzen erhalten. Er benötigt dringend genau deine Unterstützung, um sein Geld in Sicherheit zu bringen. Zudem fordert einen die vermeintliche Bank auf, schnellstmöglich wichtige Dokumente einzureichen. Natürlich auf einer Phishing Webseite, um dabei die Zugangsdaten abzufangen. Details zu den verschiedenen Varianten findest du allerdings in unserem Post über die 10 häufigsten Phishing-Methoden.

Tarnkappe.info

honeybee

honeybee schreibt seit Ende 2020 für die Tarnkappe. Der Einstieg war ein Reverse Engineering Artikel über die Toniebox. Die Biene liebt es, Technik aller Art in ihre Bestandteile zu zerlegen. Schraubendreher und Lötkolben liegen immer in Reichweite. Themen wie Softwareentwicklung, Reverse Engineering, IT-Security und Hacking sind heiß geliebt.