Dans un nouvel article de blog, Microsoft décortique une campagne de phishing par e-mail plutôt inhabituelle. Cette attaque utilise du code Morse, une méthode d’encodage ancienne qui utilise des tirets et des points pour représenter les caractères.
Les chercheurs en sécurité de Microsoft viennent de détailler, dans un nouvel article de blog, une tentative de phishing par e-mail très sophistiquée et surtout inhabituelle. En effet, les pirates ont essayer de piéger les utilisateurs d’Office 365 avec un document HTML brut vérolé avec du code Morse. Qu’est-ce que c’est ? Il s’agit d’un code permettant de transmettre un texte à l’aide de séries de signes ou caractères comme des tirets et des points. Ce langage créé par le scientifique américain Samuel Morse (développeur du télégraphe électrique) en 1832 est principalement utilisé par les militaires comme moyen de transmission, mais également par des radioamateurs, des scouts, plongeurs ou encore par des alpinistes.
Une intrusion conçue comme un puzzle
Selon Microsoft, les cyber attaquants opèrent avec des factures dans des documents Excel HTML ou Web pour distribuer des formulaires piégés. Ces espaces de saisie capturent des informations importantes comme les données d’identification (noms d’utilisateurs, mots de passe, etc.), et les adresses e-mails ou IP pour des tentatives d’intrusion ultérieures. D’après la firme de Redmond, la pièce jointe se divise en quatre parties : l’adresse e-mail de l’utilisateur, le logo de l’entreprise ciblée et deux fichiers JavaScript qui servent à voler les mots de passe qu’il faudra ensuite coder à l’aide de diverses manœuvres.
« La pièce jointe est comparable à un puzzle : pris séparément, les différents segments du fichier HMTL peuvent sembler inoffensifs au niveau du code et échapper aux solutions de sécurité conventionnelles. Ce n’est que lorsque ces segments sont assemblés et correctement décodés que l’intention malveillante apparaît », illustrent les chercheurs de Microsoft. Une technique remarquable pour contourner les antivirus.
Bien plus rentable que le ransomware
Microsoft note que « cette campagne de phishing est unique par le temps que prennent les attaquants pour coder le fichier HTML afin de contourner les contrôles de sécurité ». Ce qui témoignerait d’une grande motivation et de compétences élevées chez les pirates. La firme américaine range cette intrusion dans la catégorie des compromissions d’e-mails professionnels. Une escroquerie qui s’avère plus rentable que les ransomwares. Aussi, le groupe fondé par Bill Gates rappelle que cette technique a déjà été utilisée lors d’attaques massives en février et mai dernier. D’une part avec des fichiers JavaScript encodés en ASCII puis en code Morse ; d’autre part avec des documents HTML encodés à l’aide du même langage.
Microsoft assure lutter contre ce type de tentative dont les mécanismes d’encryptage évoluent en moyenne tous les 37 jours depuis l’an dernier. Mais, il appelle les utilisateurs de ses services à faire preuve de vigilance à la réception d’un e-mail contenant une pièce jointe décrite comme une facture. Les collaborateurs doivent surtout redoubler d’attention en face d’un fichier au format HTML avec l’extension « xls » (Excel).