Menu dostępności

Co ma wspólnego „morsowanie” z Cybersecurity?

„Morsowanie” dla Cybersecurity może okazać się równie niebezpieczne jak morsowania ludzi w zimie – bez odpowiedniej dozy rozwagi możemy się rozchorować lub może to doprowadzić do innych fatalnych skutków. W dzisiejszym artykule opiszemy ciekawy przypadek phishingu wykorzystującego alfabet Morse’a do ukrywania złośliwych linków w dokumentach HTML.

Za oknem zima, śnieg i zawierucha. Chciałoby się powiedzieć napadało tego białego g….., jak w dowcipie z Youtube.
Przy takiej pogodzie dobrze wiemy do czego może doprowadzić nieodpowiedzialne morsowanie i nie tylko ono. Oczywiście w przypadku takiej aktywności zalecamy rozwagę, ale nie o prawdziwym morsowaniu będziemy dzisiaj pisać, lecz o pewnym z nim związanym skojarzeniem – kodzie Morse’a używanym w do zaciemniania złośliwych adresów URL przez cyberprzestępców. Analogicznie do morsowania na dworze, tak i w tym przypadku zalecamy rozwagę i dzielimy się wiedzą, jak powinniśmy się chronić i na co zwracać uwagę.


Kampania phishingowa z kodem Morse’a w tle (morsowanie)

Jak się okazuje, bardzo stary sposób przesyłania wiadomości na odległość wymyślony w 1838r. przez Samuela Morse’a i Alfreda Vail, znalazł zastosowanie we współczesnym świecie cybesecurity. W sieci pojawiła się nowa, ukierunkowana kampania phishingowa zawierająca nowatorską technikę zaciemniania kodu, wykorzystująca Morse’a do ukrywania złośliwych adresów URL w załącznikach wiadomości e-mail. Przypominamy, że w kodzie Morse’a każda litera i cyfra jest kodowana jako seria kropek (krótki dźwięk) i myślników (długi dźwięk). Technika stała na tyle interesująca, że niedawno zaczęli ja stosować cyberprzestępcy w ukierunkowanych atakach phishing’owych w celu ominięcia bram i filtrów poczty. Zastosowanie techniki Morse’a do kodowania znaków w złośliwym skrypcie jest nowatorskie. A jak doskonale wiemy, to co nowe i nie zostało jeszcze opisane w sygnaturach ma duże seanse na obejście blokad rozwiązań zabezpieczających.

Pierwszą wzmiankę o typie ataku wykorzystująca kod Morse’a możemy znaleźć w poście na Reddit.


Jak wygląda atak phishingowy z kodem Morse’a?

Jak w przypadku większości ataków phishingowych, do odbiorcy (ofiary) wysyłana jest wiadomość pocztowa ze specjalnym załącznikiem, który próbuje udawać fakturę lub inny istotny/intersujący dokument. W przypadku opisywanego poniżej ataku wykorzystywany jest dokument, którego nazwa posiadać może format „[nazwa_firmy] _faktura_ [numer] ._ xlsx.hTML” lub tez posiadać swój odpowiednik w języku angielskim. Istotne jest, że plik posiada podwójne i mylące rozszerzenie: dokumentu Excela (xlxs) i HTML (html lub htm).

Przeglądając załącznik (w naszym przypadku plik HTML) w notatniku, widzimy, że zawiera on skrypt w JavaScript, który odwzorowuje litery i cyfry na alfabet Morse’a. Na przykład litera „a” jest odwzorowywana jako „.-”, a litera „b” jako „-…” :

Inny przykład złośliwego dokumentu otwartego w notatniku:

W dalszej części skryptu następuje wywołanie funkcji decodeMorse() w celu zdekodowania łańcucha kodu Morse’a na ciąg szesnastkowy. Tutaj możecie znaleźć cały kod funkcji dekodującej.

Ciąg szesnastkowy jest dalej dekodowany do tagów JavaScript, które są umieszczane w wynikowym dokumencie HTML.

Powyższe zdekodowane odnośniki zawierają linki kolejnych skryptów Javascript, które z kolei zawierają różne zasoby niezbędne do renderowania fałszywego arkusza kalkulacyjnego Excel – w rezultacie strona wygląda jakbyśmy otwierali w niej plik Excel.

Tak więc klikając na załącznik w wiadomości e-mail w tle zdekoduje się kod i finalnie zostanie zaprezentowana użytkownikowi witryna (zostanie na nią przekierowany), na której będzie widniała informacją, że upłynął limit czasu logowania i musi ponowne wprowadzić hasło.

Gdy użytkownik wprowadzi swoje hasło, formularz prześle je do zdalnej witryny cyberprzestępców zbierających dane logowania (np. do konta w chmurze Microsoft 365).

Przestępcy używają usługi logo.clearbit.com do wstawiania logo firm odbiorcy do formularza logowania, aby uczynić atak jak najbardziej realnym i przekonującym. Jeśli logo firmy nie jest dostępne, używa ogólnego logo Office 365, jak pokazano na powyższym obrazku.


Jak się chronić?

Z każdym dniem oszustwa phishingowe są coraz bardziej skomplikowane i używają coraz to nowszych metod, aby szturmować bramy pocztowe. Jeśli jest to nowa metoda istnieje prawdopodobieństwo, że złośliwa wiadomość trafi na nasza skrzynkę pocztową. Jako użytkownicy oczywiście pod żadnym pozorem nie powinniśmy otwierać podejrzanych załączników i najlepiej w tej sytuacji skontaktować się z osobą/działem za to odpowiedzialnym np. administratorem poczty lub działem bezpieczeństwa w firmie. Warto tez zwracać uwagę na podwójne rozszerzenia załączników, jak w powyższym przykładzie (xlxs i HTML) i blokować je w infrastrukturze.

O tym jak poznać, czy mail jest podejrzany dowiesz się z naszego wcześniejszego artykułu tutaj. Podobny phishing z dokumentem o rozszerzeniu *.HTM opisywaliśmy ostatnio tutaj.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...