Güvenlik araştırmacıları, oltamala saldırılarında e-posta ekindeki zararlı URL’leri gizlemek için Mors kodu kullanılan bir saldırı türü keşfetmiştir.
Bu yeni çeşit oltalama saldırısı, şirkete gelen bir fatura gibi görünen e-postayla başlamakta ve Excel formatı gibi görünecek şekilde adlandırılmış bir HTML eki içermektedir. Bu ekler ‘[şirket_adi]_fatura_[numara]_xlsx.html’ biçiminde çift uzantılı bir dosya olarak isimlendirilmektedir.
Bu zararlı dosya, içerisindeki harfleri ve sayıları Mors kodlarıyla eşleştiren bir JavaScript kodu içermektedir. Örneğin, ‘a’ karakterini ‘.-‘, ‘b’ karakterini ‘-..’ ile eşleştirmektedir. Zararlı yazılım bu yöntem ile komut dosyasını yazmakta ve elde edilen mors kodunu hexadecimal tabana çevirmek için de decodeMors() fonksiyonunu çağırmaktadır.
Elde edilen mors kodu ise bir HTML sayfası içerisine enjekte edilmektedir.Kullanıcıya gösterilen bu HTML sayfası, oturum açma işlemlerinin zaman aşımına uğradığını belirtmekte ve parolalarını tekrar girmelerini isteyen sahte bir Excel spreadsheet oluşturmaktadır.
Kullanıcı, parolasını girdiği anda mevcut bilgiler saldırganların sistemlerine gönderilmektedir. Ayrıca yeni tehdit vektörü, ağ üzerinde zararlı gibi görünmemek için ‘clearbit.com’ sitesinin servislerini kullanmaktadır.
Araştırmacılar, bu zararlı URL’lere ve dosya eki adlarına dikkat edilmesini ve şüpheli görünen mailler için araştırma yapılmasını tavsiye etmektedir. Son olarak bu saldırılardan etkilenmemek için çift uzantı kullanılan şüpheli mail eklerini tespit etmeyi kolaylaştıran ‘Windows File Extensions’ özelliğinin etkinleştirilmesi önerilmektedir.