发现黑客使用摩尔斯电码进行网络钓鱼攻击以逃避检测

微软披露了一项长达一年的规避性社会工程活动的细节。在这项活动中，运营商平均每37天就要更换一次模糊和加密机制，包括使用莫尔斯电码，以掩盖自己的行踪，并秘密获取用户凭证。

网络钓鱼攻击的形式是以发票为主题的诱饵，模仿与金融相关的商业交易，电子邮件中包含一个HTML文件（“XLS.HTML”）。最终目标是获取用户名和密码，这些用户名和密码随后被用作后续渗透尝试的初始入口点。

微软将该附件比作“拼图游戏”，指出HTML文件的各个部分被设计成看起来无害的，并经过端点安全软件，但当这些片段被解码并组装在一起时，才显示出其真实的颜色。该公司没有确认此次行动背后的黑客身份。

微软365 Defender威胁情报团队在一份分析报告中表示：“这场网络钓鱼活动体现了现代电子邮件威胁：复杂、规避、不断演变。”。“HTML附件分为几个部分，包括用于窃取密码的JavaScript文件，然后使用各种机制对这些文件进行编码。这些攻击者从使用纯文本HTML代码转向使用多种编码技术，包括古老和不同寻常的加密方法，如莫尔斯电码，来隐藏这些攻击部分

打开附件会启动一个浏览器窗口，在模糊的Excel文档上方显示一个假的Microsoft Office 365凭据对话框。该对话框显示一条消息，敦促收件人再次登录，原因是他们对Excel文档的访问据称已超时。在用户输入密码的情况下，系统会提醒用户输入的密码不正确，而恶意软件会在后台秘密获取信息。

据称，自2020年7月发现以来，这场战役已经经历了10次迭代，对手定期改变编码方法，以掩盖HTML附件的恶意性质以及文件中包含的不同攻击段。

微软表示，在二月和2021年5月的攻击中发现了摩尔斯电码的使用，而后来发现钓鱼工具的变体将受害者引导到合法的办公室365页面，而不是在输入密码时显示假错误消息。

研究人员说：“基于电子邮件的攻击继续尝试绕过电子邮件安全解决方案。”。“在这次网络钓鱼活动中，这些尝试包括对已知的现有文件类型（如JavaScript）使用多层模糊处理和加密机制。HTML中的多层模糊处理同样可以规避浏览器安全解决方案。