Serangan Siber Terbaru Gunakan Kode Morse

Digitalmania – Bagi mereka yang pernah melakukan aktivitas ekstrakulikeler Pramuka tentu mengenal sandi morse. Samuel Morse dan Alfred Vail adalah orang yang menemukan kode morse sebagai cara untuk mengirimkan pesan melalui kabel telegraf. Saat menggunakan kode Morse, setiap huruf dan angka dikodekan sebagai rangkaian titik (suara pendek) dan tanda hubung (suara panjang).

Tapi uniknya belum lama ini di dunia maya muncul aktivitas phising menggunakan kode morse. Kampanye phising bertarget baru tersebut menggunakan kode Morse untuk menyembunyikan URL berbahaya dalam lampiran email.

Mulai minggu lalu, pelaku serangan phising mulai menggunakan kode Morse untuk menyembunyikan URL berbahaya dalam bentuk phising mereka untuk melewati gerbang email dan filter email yang aman.

Tidak dapat ditemukan referensi apa pun ke kode Morse yang digunakan dalam serangan phising di masa lalu, menjadikannya sebagai teknik baru untuk menyamarkan.

Serangan phising model baru

Setelah pertama kali mengetahui serangan ini dari sebuah pos di Reddit,  ditemukan banyak contoh serangan yang ditargetkan yang diunggah ke VirusTotal sejak 2 Februari 2021.

Serangan phishing dimulai dengan email yang berpura-pura menjadi faktur bagi perusahaan.

Email ini menyertakan lampiran HTML yang diberi nama sedemikian rupa sehingga tampak seperti faktur Excel untuk perusahaan. Lampiran ini diberi nama dalam format ‘[company_name] _invoice_ [number] ._ xlsx.hTML.’

Misalnya, jika ESET Indonesia menjadi target mereka, maka lampiran akan dinamai ‘ESETIndonesia_invoice_1308._xlsx.hTML.’

Saat melihat lampiran di editor teks, Anda dapat melihat bahwa lampiran tersebut menyertakan JavaScript yang memetakan huruf dan angka ke kode Morse. Misalnya, huruf ‘a’ diubah ke ‘.-‘ dan huruf ‘b’ diubah menjadi ‘-…’, seperti yang ditunjukkan di bawah ini.

Skrip kemudian memanggil fungsi decodeMorse () untuk mendekode string kode Morse menjadi string heksadesimal. String heksadesimal ini selanjutnya diterjemahkan menjadi tag JavaScript yang dimasukkan ke dalam halaman HTML.

Skrip yang disuntikkan ini digabungkan dengan lampiran HTML berisi berbagai sumber daya yang diperlukan untuk membuat spreadsheet Excel palsu yang menyatakan waktu masuk mereka habis dan meminta mereka untuk memasukkan sandi lagi.

Setelah pengguna memasukkan kata sandi, formulir akan mengirimkan kata sandi ke situs jarak jauh tempat pelaku dapat mengumpulkan kredensial login.

Operasi phising kode morse ini sangat bertarget, dengan pelaku ancaman menggunakan layanan logo.clearbit.com untuk memasukkan logo perusahaan penerima ke dalam formulir login agar lebih meyakinkan. Jika logo tidak tersedia, logo tersebut menggunakan logo Office 365 generik.

Diketahui setidaknya sebelas perusahaan yang menjadi sasaran serangan phising ini, termasuk SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti, dan Capital Four.

Penipuan phising menjadi lebih rumit setiap hari karena gerbang email menjadi lebih baik dalam mendeteksi email berbahaya.

Karena itu, setiap orang harus memperhatikan URL dan nama lampiran sebelum mengirimkan informasi apa pun. Jika terlihat mencurigakan, penerima harus menghubungi administrator jaringan mereka untuk menyelidiki lebih lanjut.

Karena email phising ini menggunakan lampiran dengan ekstensi ganda (xlxs dan HTML), penting untuk memastikan bahwa ekstensi file Windows diaktifkan untuk mempermudah melihat lampiran yang mencurigakan.

Bagi para penguna email baik individu ataupun perusahaan dapat menggunakan VIMANAMAIL sebagai solusi mutakhir mengatasi ancaman email semacam ini, teknologi VIMANAMAIL dapat menyortir melalui berbagai macam tahapan sehingga menjamin email yang masuk ke inbok perusahaan bersih dari ancaman siber. Digitalmania. AN