Как хакеры маскируют свои URL-адреса с помощью азбуки Морзе

Хакеры провели фишинговую компанию целенаправленного характера, в которой применили новый метод обфускации с использованием азбуки Морзе, чтобы скрывать вредоносные URL во вложении электронной почты, обходить почтовые шлюзы и фильтры.

Атака началась с письма с темой «Revenue_payment_invoice February_Wednesday 02/03/2021». Оно было замаскировано под счет компании, содержит вложение в формате Excel. Злоумышленники для большей убедительности используют логотипы компаний, кому отправляется письмо или стандартный лого Office 365.

Если посмотреть вложение в текстовом редакторе, то можно увидеть код, сопоставляющий цифры и буквы с азбукой Морзе. Когда скрипт отработает, вызывается функция decodeMorse(), которая декодирует строки кода Морзе в шестнадцатеричную строку. Теги вставляются в HTML-страницу. Пользователь видит поддельную таблицу Excel, где написано, что время истекло и нужно ввести пароль еще раз. Пароль отправляется злоумышленникам.